数据分析取证:dump.pcapng

已于 2022-07-02 15:33:06 修改
阅读量1.8k 收藏 9
点赞数 2
文章标签: wireshark 数据分析 网络安全 linux 网络
于 2022-07-02 14:31:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46239567/article/details/125572638
版权

dump.pcapng:dump.pcapng-其它文档类资源-CSDN下载

1、某公司网络系统存在异常,猜测可能有黑客对公司的服务器实施了一系列的扫描和攻 击,使用 Wireshark 抓包分析软件查看并分析 PC20201 服务器 C:\Users\Public\Documents路径下的dump.pcapng数据包文件,找到黑客的IP地址, 并将黑客的 IP 地址作为 Flag 值(如:172.16.1.1)提交;

过滤http请求方式 过滤出源地址

在最后一条数据发现horse。。?

木马后门

172.16.1.110

2.继续分析数据包文件dump.pcapng分析出黑客通过工具对目标服务器的哪些服务进行 了密码暴力枚举渗透测试,将服务对应的端口依照从小到大的顺序依次排列作为 Flag 值(如:77/88/99/166/1888)提交;

过滤出黑客的syn连接

升序端口

3.继续分析数据包文件 dump.pcapng,找出黑客已经获取到目标服务器的基本信息,请 将黑客获取到的目标服务器主机名作为 Flag 值提交;

过滤出23端口

随便显示数据包

SecTestLabs

4.黑客扫描后可能直接对目标服务器的某个服务实施了攻击,继续查看数据包文件 dump.pcapng 分析出黑客成功破解了哪个服务的密码,并将该服务的版本号作为 Flag 值(如:5.1.10)提交;

对爆破端口进行分析 发现mysql的流中出现sql语句得知该服务密码被爆破成功

根据time字段可知mysql服务被爆破成功的时间最早

ftp时间没mysql早

5.7.26

5、继续分析数据包文件 dump.pcapng,黑客通过数据库写入了木马,将写入的木马名称作 为 Flag 值提交(名称不包含后缀);

horse

6、继续分析数据包文件 dump.pcapng,黑客通过数据库写入了木马,将黑客写入的一句话 木马的连接密码作为 Flag 值提交;

 

lqsym

7、继续分析数据包文件 dump.pcapng,找出黑客连接一句话木马后查看了什么文件,将 黑客查看的文件名称作为 Flag 值提交;

 

passwd

8、继续分析数据包文件 dump.pcapng,黑客可能找到异常用户后再次对目标服务器的某 个服务进行了密码暴力枚举渗透,成功破解出服务的密码后登录到服务器中下载了一 张图片,将图片文件中的英文单词作为 Flag 值提交。

 

发现一个56489bytes大小的图片

过滤ftp-data

追踪流发现56KB大小的对话 保存原始数据

FFDHH
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
2021中职网络空间安全国赛dump.pcapng数据包分析
weixin_50463931的博客
12-21 2978
现在差不多是一周两更或三更 不定时发一些自己整理的笔记。有不理解的请私信我,有不懂得题可以评论到下方我会出。
【产品升级】DBF6300新增日志解析功能,数据库取证分析更便捷
效率源科技的博客
01-16 409
DBF6300数据库取证分析系统 V20.1.9.98版本正式发布 DBF6300数据库取证分析系统 DBF6300数据库取证分析系统(简称DBF6300)是业内首款数据库取证分析产品,可以对大部分类型的数据库进行恢复取证分析工作。对数据库被删除、数据库损坏、文件系统损坏、无数据库密码等情况,用户均可在DBF6300中对恢复的数据进行排序、筛选、统计、关键字查询、可视化查询、SQL语句查...
流量分析(dump.pcapng
weixin_72466436的博客
04-02 1613
流量分析
MSSQL数据库取证分析
weixin_51339377的博客
07-08 963
核心内容: MSSQL数据库的备份类型:SQL Server的数据库固定一、拷贝MSSQL数据库文件固定 脱机仅仅是断开数据库的连接,如果数据库在使用的时候脱机,耗时可能比较久 分离只是从清单中移除,并不会删除数据库文件停止服务的两种方法:另一种数据库备份固定的方法: 第三种固定MSSQL数据库的方法是生成脚本固定 sql文件生成进行固定数据库相应生成的sql文件如何还原和打开呢? 第四种方式 两个数据库在网络互通的情况下 通过导出数据完成数据库迁移 需要两台主机的数据库服务可以相互连通 之后
dump.pcapng解析.docx
01-13
数据分析取证,流量分析
dump.pcapng
07-02
1、某公司网络系统存在异常,猜测可能有黑客对公司的服务器实施了一系列的扫描和攻 击,使用 Wireshark 抓包分析软件查看并分析 PC20201 服务器 C:\Users\Public\Documents路径下的dump.pcapng数据包文件,找到黑客...
DUMP数据分析助手.exe
07-08
可用于分析dump文件十六进制数的按位取反,十进制换算,二进制换此算和逆位的十六进制数换算,二进制换算。还可以进行和和异或计算,可以添加运算数进行更多计算。文件对比:自动对比。有能力的可以获得vip功能。/...
西数DES数据库取证分析大师系统
西数科技-专注于数据恢复与司法鉴定
07-12 1130
西数DES数据库取证分析大师系统 软件界面 功能介绍: 支持勒索病毒加密的oracle数据库 可从数据文件 DBF,dmp文件恢复表数据,存储过程,触发器等所有数据.。 (1)系统崩溃只剩下数据文件的情况下的恢复,无system01.dbf 也可以提取其他表空间数据支持从磁盘恢复丢失的归档日志 . (2) undo system 表空间损坏数据恢复.各种ORA错误 如ORA600等顽固性错误。无法open 无法mount等 无法EXP等情况。 (3) 非归档或者归档模式下误...
数据库取证——MySQL基础知识
记录并分享学习安全的知识点..
01-10 1047
数据库取证——MySQL基础知识
数据库安全专家指出数据库取证仍然落后
weixin_33847182的博客
09-04 173
本文讲的是数据库安全专家指出数据库取证仍然落后,在日前美国拉斯维加斯举行的2011黑帽大会上,数据库安全专家David Litchfield表示,即使是在这个海量数据库泄漏和数据库攻击的时代,数据库取证仍然处于明显落后的状况。Litchfield因数据库安全漏洞检测方面的工作而闻名,他在黑帽大会上展示了一套新的Oracle数据库取证工具测试版,现在正在向...
.dmp数据备份与还原
wangwang3650711的博客
05-15 4070
dmp一般用来备份数据库或者导入数据库,通常我们得到一个dmp文件,那怎么将dmp文件导入数据库呢? ctrl+R 输入cmd进入dos命令。 sqlplus system/a 登录system用户 show user 查看当前用户 create news30 identified by a 创建news30 用户赋予密码a grant resource,connect to news30
dump.pcapng解析
qq_59656429的博客
12-02 651
1.某公司网络系统存在异常,猜测可能有黑客对公司的服务器实施了一系列的扫描和攻击,使用Wireshark抓包分 析软件查看并分析Kali Linux的root目录下dump.pcapng数据包文件,找到黑客的IP地址,并将黑客的IP地址作 为Flag值(如:172.16.1.1)提交;5.继续分析数据包文件dump.pcapng,黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚 举渗透,成功破解出服务的密码后登录到服务器中下载了一张图片,将图片文件中的英文单词作为Flag值提交。
Wireshark数据包分析浅析
风起的博客
01-19 5844
Wireshark数据包分析 数据包分析器又名嗅探(Sniffers),是一种网络流量数据分析的手段,常见于网络安全领域使用,也有用于业务分析领域,一般是指使用嗅探器对数据流的数据截获与分组分析(Packet analysis)。 分析网络问题 业务分析 分析网络信息流通量 网络大数据金融风险控制 探测企图入侵网络的攻击 探测由内部和外部的用户滥用网络资源 探测网络入侵后的影响 监测链接互联网宽...
Windows取证实验
qq_63855830的博客
03-26 2119
Windows活取证实验
溯源取证-内存取证 高难度篇
weixin_48421613的博客
04-10 1106
今天的场景依然是windows场景,只不过此次场景分为两个镜像,本次学习主要学习如何晒别钓鱼邮件、如何提取钓鱼邮件、如何修复损坏的恶意文件、如何提取DLL动态链接库文件
volatility命令使用 misc部分取证解题(部分内存取证
(●'◡'●)
07-13 3605
Volatility -f<文件名> --profile=<配置文件><插件>[插件参数] 一般思路步骤 列举进程 查找需要的信息 Volatility -f name --profile=Winxpap2x86 pslist 创建文件夹 把需要保存的文件提取 将内存中的某个进程数据以dup的格式保存出来 volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录] mk..
wirehark数据分析取证flag.pcap
热门推荐
Aluxian_的博客
04-18 1万+
什么是wireshark?wiresharekflag.pcap数据包数据包下载 请私信博主 wiresharek Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。 flag.p
dump.pcapng
最新发布
10-09
dump.pcapng是一种用于存储网络数据包的文件格式。它通常用于网络分析和嗅探工具生成的数据捕获...总而言之,读取dump.pcapng文件可以帮助用户深入了解网络数据流量,分析和解决网络问题,并提高网络的性能和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FFDHH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值