事件描述:某公司内部网的一台 Web 服务器上检测到可疑活动。为了更深入地了解情况,团队捕获了网络流量进行分析。观测一系列恶意活动,这些活动已经令web服务器遭到破坏,我们进行更加深入的调查。
1.使用Wireshark查看并分析虚拟机windows10桌面下的web.pcap数据包,然后根据所得信息进行确定服务器上发起这些请求的源 IP 地址作为flag提交。提交格式flag{xxxxxxxxx}
发现了14.0.0.120对目标10.0.0.120进行了端口扫描 flag{140.0.0.120}
2.查看web.pcap数据包中哪个端口中提供对 Web 服务器管理面板的访问?端口作为flag提交。提交格式flag{xxxxxxxxx}
筛选一下http flag{80}
3.攻击者在我们的服务器上发现开放端口后,似乎试图枚举我们 Web 服务器上的目录和文件。您可以从分析中识别出攻击者使用的工具是什么吗?将工具名称作为flag提交。提交格式flag{xxx}
如果是枚举目录的话,那不就是404呗,直接查找一波
找到了404,我们最终一下tcp流看看用的是什么工具 可以明显看到使用的是gobuster爆破目录工具 flag{gobuster}
4.在攻击者枚举 Web 服务器上的目录之后,攻击者发出了大量请求,试图识别管理界面。攻击者发现了与管理面板关联的哪个特定目录?将目录名称作为flag提交。提交格式flag{xxx}
其实题目的意思就是去查看登录的指纹 flag{manager}
5.访问管理面板后,攻击者试图暴力破解登录凭据。从数据中,您能否识别出攻击者成功用于授权的正确用户名和密码组合?将正确的用户名和密码组合作为flag提交。提交格式flag{xxx}
找一下刚才那个目录下的数据包,然后进行tcp流追踪
发现了一段base64加密过的东西看,我们解密看一下 得到flag。flag{admin:tomcat}
6.进入管理面板,攻击者试图上传文件,意图建立反向 shell。您能从捕获的数据中识别出此恶意文件的名称吗?将正确的恶意文件名称作为flag提交。提交格式flag{xxx}
直接去查看上传的数据包
追踪一下tcp流
得到flag。flag{JXQOZY.war}