A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT),并抓取了部分可疑 流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶 意程序的行为。
分析并提交攻击者使用FTP 连接目标服务器时使用的密码。
分析并提交攻击者登入目标服务器web 系统时使用的密码。
分析并提交攻击者传入目标系统的文件名。
分析并提交被攻击的服务器的计算机名称。
1.分析并提交攻击者使用FTP 连接目标服务器时使用的密码
Flag:Root123
2.分析并提交攻击者登入目标服务器web 系统时使用的密码
过滤http协议,追踪第一个包的数据流即可发现密码,这里是密码应该是指webshell管理工具的连接密码(因为一般来说登录是post请求,过滤后并没有包,所以猜测没有进行登录),登录目标服务器web系统一般来说除了用户密码,也可以使用webshell管理工具进行连接,也是进入了目标服务器web系统。 Flag:e45e329feb5d925b或者rebeyond
3.分析并提交攻击者传入目标系统的文件名
过滤http协议,追踪第一个包的数据流即可发现攻击者传入目标系统的文件名 Flag:shell.PHp
4.分析并提交被攻击的服务器的计算机名称
寻找计算机名称⼀般有如下⽅法:
DHCP
NetBIOS(过滤语法 nbns)
HTTP (观察 User-Agent头)
kerberos.CNameString
Flag:WIN-935BICNFFVK