wireshark流量分析Unit 42测验,2023 年 2 月

最新推荐文章于 2024-07-27 14:51:42 发布
最新推荐文章于 2024-07-27 14:51:42 发布
阅读量295 收藏 3
点赞数 3
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiu_muya/article/details/137514374
版权

​​​​​​问题:

  • 摘要
  • 受害者详细信息
  • 入侵指标 (IoC)

刚进入打开pcap包 先做第二个受害者详细信息

惯例搜索 http.request or tls.handshake.type eq 1

如图 受害者ip和mac地址

然后查找受害主机信息  筛选框nbns or smb or smb2

Kerberos身份验证流量在用户登录时生成 那我们直接筛选kerberbos

好像有点多 那我们接着筛选 Cnamestring

到这四个需要的已经找出来了

IP 地址:10.0.0.149
MAC地址:00:21:5d:9e:42:fb
主机名: DESKTOP-E7FHJS4
Windows 用户帐户:damon.bauer

接下来我们从url中去寻找可疑的报文 查找http的请求 筛选框中选择http.request

发现通过ip访问 很可疑 追踪一下

这里告诉我们这个程序不能在DOS模式下运行

我们直接将其导出 然后将.dat  后面没有头绪了  看了一下wp 要看文件的sha256哈希值

certutil -hashfile 文件名  SHA256

在virustotal上搜索

被标记为Qakbot恶意文件

摘要:
在 2023-02-03 17:04 UTC,Damon Bauer 使用的 Windows 计算机感染了Qakbot恶意软件。
恶意网络流量
端口 80 - hxxp://128.254.207.55/86607.dat
恶意软件:
SHA256哈希值:713207d9d9875ec88d2f3a53377bf8c2d620147a4199eb183c13a7e957056432
文件的位置:hxxp://128.254.207[.]55/86607.dat

枣子不洗澡
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【愚公系列】2023年04月 wireshark系列-数据抓包分析之IP协议
时光隧道
08-21 5万+
IP协议是一种网络协议,用于在互联网上发送和接收数据包。它是Internet Protocol(互联网协议)的缩写,是互联网中最基础的网络协议之一。
MSTP模拟实验搭建及测试报告、Wireshark抓包分析
09-21
2. **分析MSTP报文**:通过Wireshark解析出的MSTP报文,可以查看BPDU(Bridge Protocol Data Unit)的发送和接收,包括Root ID、Root Path Cost、Designated Bridge ID、Port ID等关键信息,以及拓扑变化通知。...
wireshark https_大白鲨Wireshark解密HTTPS流量
weixin_39848007的博客
11-23 601
在审查可疑网络活动时,经常遇到加密流量。大多数网站使用HTTPS协议,各种类型的恶意软件也使用HTTPS,查看恶意软件产生的数据对于了流量内容非常有帮助。本文介绍了如何利用Wireshark从pcap中解密HTTPS流量。可以使用基于文本的日志进行解密方法,日志中包含最初记录pcap时捕获的加密密钥数据。HTTPS Web流量HTTPS流量通常显示一个域名。例如,在Web浏览器中查看ht...
TLS协议分析 (四) handshake协议概览
zhangtaoym的博客
04-10 9231
转自:http://chuansong.me/n/1268791652843 5. handshake 协议 handshake protocol重要而繁琐。 TLS 1.3对握手做了大修改,下面先讲TLS 1.2,讲完再介绍一下分析TLS 1.3. 5.1.handshake的总体流程 handshake protocol用于产生给record protocol使用
SSL Handshake Failure【记一次线上问题处理过程】
热门推荐
浴血重生-学习空间
03-24 3万+
1 现象 客户端抓包:client发送client hello,服务器确认后,没有发送server hello,而是等待超时后,发送FIN包,断开连接。 从客户端抓包来看,客户端怀疑服务端未发送server hello,那就再服务端抓包查看 serverhello 和client hello的数量是否一致。 ssl.handshake.type==2 server hello 的过...
Wireshark学习思路-2
weixin_48421613的博客
06-25 740
上节和大家分享了简单的对Wireshark进行配置,但是却没有告诉大家如何进行本地的HTTP/HTTPS流量的获取,也就是拦截浏览器访问的流量。 新版本的Wireshark以及老版本的Wireshark需要手动添加SSL/TLS的LOG文件,用于解析加密的内容,其实原理就和Burpsuite安装证书才能拦截Https流量是一个原理。 配置SSL/TLS文件 在任意硬盘里新建一个文件,文件名其实叫什么都行,但是建议在C盘进行创建,因为命名规范有利于后期的维护以及环境变量的配置。 如下图所示,在本地C盘.
Unit 42 Wireshark流量分析 2023 年 1 月
qiu_muya的博客
04-07 395
直接找http请求的数据 四条 看到第一条的ip:192.168.1.27 计算机内部的ip 应该就是受害者的ip地址了 点开报文查看。这个一开始不知道怎么去找了,去看了wp提示 剩下的信息全都在未加密的smtp被盗数据里面那我们直接搜索smtp去寻找。在报文中发现了类似主机名字的东西 应该就是这个了DESKTOP-WIN11PC。5、受害者的 Windows 用户帐户名称是什么?7、受害者的主机使用什么类型的 CPU?1(2)、恶意流量什么时候开始的: (受害者的IP地址是什么?
Wireshark教程:解密HTTPS流量
YJ_12340的博客
07-20 4684
本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,并使用Wireshark3.x版。
wireshark gpon omci插件
09-27
Wireshark是一款强大的网络封包分析软件,广泛用于网络故障排查、协议开发和教育领域。它的功能在于捕获网络上的数据包并解析其内容,帮助用户深入理解网络通信过程。在Gigabit Passive Optical Network(GPON)环境...
h264 h265码流分析工具(Elecard HEVC Analyzer,Elecard StreamEye Tools,H264Visa)
08-21
Wireshark是一个强大的网络封包分析软件,配合h265_export.lua和rtp_h264_extractor.lua这两款Lua脚本,可以方便地从网络流量中捕获并导出H264和H265的裸码流数据,这对于研究码流结构、开发解码器或进行网络性能...
网络协议分析实验报告.doc
09-29
2. **使用Wireshark捕获数据包:** 在不同的终端窗口中运行客户端和服务端程序,使用Wireshark捕获UDP通信数据,并分析UDP协议格式。 3. **实现Traceroute功能:** 通过socket编程发送UDP数据报,逐步增加TTL值,...
sniffer抓包分析以太网帧
07-04
Sniffer工具如Wireshark等,被广泛用于网络诊断和安全监控,通过捕获这些帧来分析网络流量。本文将深入探讨如何使用Sniffer抓取ICMP(Internet Control Message Protocol)包来分析以太网帧。 首先,让我们回顾一下...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 246
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
网络编程套接字socket
安权_code的博客
07-23 954
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 624
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1114
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络的安全性。
DNS域名管理系统、搭建DNS服务
十四的博客
07-23 931
DNS概述。
使用WebSocket协议调用群发方法将消息返回客户端页面
2302_79840586的博客
07-27 834
使用WebSocket协议调用群发方法将消息返回客户端页面
中职网络安全2021年国赛Wireshark流量分析题目
08-03
根据引用[2]的信息,中职网络安全2021年国赛的Wireshark流量分析题目共分为四个模块:基础设施设置与安全加固、网络安全事件响应、数字取证调查和应用安全、CTF夺旗-攻击、CTF夺旗-防御。具体的题目内容和参数可能会...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值