15.wireshark学习-网络取证练习2

最新推荐文章于 2024-06-04 14:34:05 发布
最新推荐文章于 2024-06-04 14:34:05 发布
阅读量1.6k 收藏 13
点赞数 3
分类专栏: 安全工具 文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36810852/article/details/107367756
版权 
难题2:安跳过保释
2009年10月10日 / SHERRI / 7条评论
在被保释后,安·德雷克消失了!幸运的是,调查人员在她逃离城镇之前仔细监视了她的网络活动。

警察局长说:“我们相信安在离开前可能已经与她的秘密情人X先生进行了沟通。” “ 抓获的包裹可能包含有关她下落的线索。”

您是法医调查员。您的任务是弄清楚Ann发送了什么电子邮件,她去了哪里,并收集了以下证据:

1.安的电子邮件地址是什么?
2. Ann的电子邮件密码是什么?
3.安的秘密情人的电子邮件地址是什么?
4.安告诉她的秘密情人要带哪两项?
5. Ann发送给她的秘密情人的附件的名称是什么?
6. Ann发送给她的秘密爱人的附件的MD5sum是多少?
7.他们在哪个城市和国家集合点?
8.文档中嵌入的图像的MD5sum是多少?

请使用官方提交表格提交答案。待定奖。奖品将是联想IdeaPad S10-2 –就像Sec558学生在奥兰多获得的免费上网本一样。

这是您的证据文件:

http://forensicscontest.com/contest02/evidence02.pcap
MD5(evidence02.pcap)= cfac149a49175ac8e89d5b5b5d69bad3

打开数据包,往下拉发现有很多smtp的数据包,smtp是邮件传输协议

1.安的电子邮件地址是什么?
sneakyg33k@aol.com

对第一个smtp协议追踪流

1

2. Ann的电子邮件密码是什么?

猜测认证成功上面这部分
与登陆有关,要么是加密,要么是编码
2

我们可以上网搜索smtp协议的用户名密码的编码是什么,BASE64,接下来解码

3

复制过去,解码

4

用户名:

5

解码后的密码:558r00lz

6

3.安的秘密情人的电子邮件地址是什么?
答案:mistersecretx@aol.com

这封邮件里面没什么东西,而且期间可能不止和一个人通信,因此我们需要返回继续查找

这个中内容很多,可能是秘密情人

7

往下拉,到116时,追踪流,可以收集到信息,

4.安告诉她的秘密情人要带哪两项?
答案:fake passport and a bathing suit

8

5. Ann发送给她的秘密情人的附件的名称是什么?
答案:secretrendezvous.docx

附件为base64编码,加密前的文件名

9

复制下来,需要在网上找将base64还原成文件的方法。

10

下载文件

11

6. Ann发送给她的秘密爱人的附件的MD5sum是多少?
MD5:9E423E11DB88F01BBFF81172839E1923

使用md5校验工具

12

7.他们在哪个城市和国家集合点?
Playa del Carmen, Mexico

打开文件

13

8.文档中嵌入的图像的MD5sum是多少?
MD5:AADEACE50997B1BA24B09AC2EF1940B7

图片的md5不能另存为进行md5校验,可以使用压缩软件,当使用Winrar打开后会发现图片是单独的,解压出来,进行校验

14

15

16

17

解压后校验

18

人间且慢行呀
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
2022年全国职业院校技能大赛中职组网络安全竞赛试题B模块 ——wirehark数据分析与取证hack.pcapng(解析教程)
Jay
12-22 1119
4.使用Wireshark查看并分析hack.pcapng数据包文件,通过分析数据包hack.pcapng在黑客爆破数据表的sql语句,将payload语句中数据表,列相关的十六进制的值作为FLAG提交;3.使用Wireshark查看并分析hack.pcapng数据包文件,通过分析数据包hack.pcapng在黑客爆破数据表的sql语句,将payload语句中数据表的十六进制的值作为FLAG提交;网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
09-15
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
wireshark流量取证方法
luckc7的博客
11-16 498
熟悉wireshark流量取证方法
【电子取证Wireshark教程:从流量包中导出文件
最新发布
longxintec的博客
06-04 1758
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件,使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析中,往往需要从获取到的流量包中导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件—导出对象—SMB,就可以导出SMB流量中的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
14.wireshark学习-网络取证练习1
Daylight
07-15 2031
网络取证练习 http://forensicscontest.com/puzzles 每道题都是给一个数据包,一些问题,分析数据包 难题1:安的不良目标 九月25,2009 / 管理 / 5评论 Anarchy-R-Us,Inc.怀疑他们的一名雇员Ann Dercover确实是为竞争对手工作的秘密特工。Ann可以使用公司的奖励资产,即秘方。安全人员担心安可能会泄露公司的秘密秘方。 安全人员一直在监视Ann活动,但直到现在都没有发现可疑之处。今天,一台意外的笔记本电脑短暂出现在公司的无线网络上。工作人员
Wireshark学习笔记(二)取证分析案例详解
Zichel77的博客
06-10 2951
Wireshark信息流量分析实战
网络取证
Yale的博客
09-04 539
会话拼接是指攻击者把会话中的一个字符串剪切开来,分别塞入多个数据包里,以逃避NIDS/NIPS的模式匹配的手法 IRC是一种使用明文通信的协议,可以很容易检测、阻断被滥用的通信连接 分布式C&C的特点:冗余度,避免被检测出来(因为被感染的终端不会再直接被连接到中央服务器了),不对称 storm僵尸网络使用由受感染的主机组成的点对点网络,建立动态的通信信道,动态地改变更
13.wireshark学习-wireshark网络取证
Daylight
07-15 1284
13.wireshark网络取证 既然用户可能是使用各种不同的应用程序传输的文件,为什么Wireshark都可以对其进行解析呢,有人可能会此感到困惑。其实这些应用程序在应用层可能使用不同的协议。 但是它们在传输数据时传输层采用的大多数采用的是TCP协议,只不过一个完整的文件会被分割成多个数据包进行传输。这些有顺序的数据包就被称作流,而Wireshark中提供了一个“流跟踪(TCPStream) "功能。利用这个功能,Wireshark就可以将捕获到所有的通信数据包重组成完整的会话或者文件。 实例数据包下载:
Introduction to Wireshark Network Analysis_wiresharkebook_
10-03
7. **实战演练**:为了巩固学习,书中会提供一系列练习题和实战项目,让读者在实际操作中加深对Wireshark的理解和应用。 通过阅读《Wireshark网络分析入门》,读者不仅可以掌握Wireshark的基本操作,还能深入了解...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 798
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
世界技能大赛网络安全样题
07-13
通过Wireshark(如"wireshark(ms17-010)")这样的网络封包分析工具,参赛者可以学习如何解析网络通信,识别潜在的威胁和异常行为。 "PacketTracer6.zip"是Cisco Packet Tracer的早期版本,这是一个广泛用于网络设计...
取证训练(一)
Yale的博客
01-14 1456
0x01 前言 本文章通过动手数据包分析还原网络数据产生现场,通过多种典型电子取证分析的工具的使用来进行溯源分析,通过本次实践促进小伙伴们提高网络安全意识 本文所用流量包来自开源组织Honeynet 0x02 在动手操作之前先给小伙伴们提出以下几个问题: 数据包中涉及哪些系统(以及ip地址)? 请描述你可以从数据包中得出的与攻击机相关的信息 在数据包里有多少tcp 会话? 攻击持续了多长时间 被...
wireshark取证案例学习笔记
corner55的博客
05-15 1362
有一封信引起了她的注意,它显然是垃圾邮件,但躲过了邮箱的邮件过滤。在等待引渡文件准备的时间里,你和你的团队继续密密地监控她的行为。没意思,张发财女士关掉了浏览器窗口,然后开始一天的工作。图片的md5不能另存为进行md5校验,可以使用压缩软件,当使用Winrar打开后会发现图片是单独的,解压出来,进行校验。你的任务是通过分析pcap文件,找出张发财女士点击了链接后,计算机系统发生了什么。幸运的是,在她消失之前,侦查人员一直在监视她的网络。你的任务是找出张小花发了什么邮件,她去了哪里,并还原一切线索。
6-wireshark网络安全分析——网络取证
网络安全
03-21 3935
1. 通过Wireshark网络取证 Wireshark既然可以解析网络中的各种数据流量,那么通过网络传输协议,例如ftp协议传输的文件数据wireshark也可以对其解析,本质上FTP协议是基于传输层TCP协议的,并且一个完整的文件会分割为多个tcp数据包传输(这些TCP数据包被称为TCP流),wireshark工具就提供了一个“流跟踪(TCP Stream)”功能。 这个功能在我们需...
Wireshark网络安全之传输层安全-取证实践
qq_43776408的博客
06-30 303
恢复传输中的JPG文件 无论传输层上层是哪一种协议 只要你你到了传输层 就必须使用UDP和TCP协议 保存的文件内容为HTTP头和图片数据 现在我们用winhex.exe恢复出原图片 打开winhex.exe后将文件拖到里面 删除里面的HTTP头 剩下的就是图片的16进制 最后另存为 扩展名用jpg 然后会生成原来的jpg文件 ...
WireShark网络取证分析第三集
Fly_鹏程万里
10-20 269
安的AppleTV的MAC地址是什么?Ann的AppleTV在HTTP请求中使用了什么用户代理字符串?Ann在AppleTV上的前四个搜索词是什么(所有增量搜索都计算在内)?安点击的第一部电影的名字是什么?电影预告片的完整网址是什么(由"preview-url"定义)?安点击的第二部电影的名字是什么?购买它的价格是多少(由"价格显示"定义)?Ann搜索的最后一个完整术语是什么?
江西省省赛中职网络安全-流量分析
weixin_48800344的博客
01-05 4167
2021年职业院校技能大赛“网络安全”项目 江西省比赛任务书 一、竞赛时间 总计:420分钟 二、竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 A模块 A-1 登录安全加固 180分钟 200分 A-2 Web安全加固(Web) A-3 流量完整性保护与事件监控(Web,Log) A-4 防火墙策略 A-5 Windows操作系统安全配置 A-6 Linux操作系统安全配置 B模块 B-1 系统漏洞利用与提权 400分 B-2 Linux操作系统渗透测试 B-3 应用服务漏洞扫描与利用 B-4 S
取证训练(二)
Yale的博客
01-14 1141
背景: *** 流量来自honeynet *** 你是一家专门从事托管Web应用程序的公司。周末,一个VM掉了下来,网站管理员担心这可能是恶意活动的结果。他们从环境中提取了几张日志,希望你能判断出发生了什么事。 这一挑战是几个越来越困难的从中间到中级的任务的结合,重点是认证、信息隐藏和密码学。学员将从这些领域的入门知识,以及一般Linux操作、内核模块、脚本语言等知识中获益。 并不是一切都像看上去...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值