流量分析_安恒八月月赛

最新推荐文章于 2024-03-28 08:39:50 发布
最新推荐文章于 2024-03-28 08:39:50 发布
阅读量3.9k 收藏 22
点赞数 7
分类专栏: 流量分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43431158/article/details/107176918
版权

前言:

流量分析很有意思,之前忙于考试,暂时没有学习了,考试结束了就来总结一下一些CTF下常见的流量分析的题型。

0x00:流量包修复

在这里插入图片描述
使用wireshark打开流量包发现报错,可以使用在线pacp包修复工具进行修复
http://f00l.de/hacking/pcapfix.php
在这里插入图片描述
修复好之后再重新打开,翻了一下发现
在这里插入图片描述
这些包中的ID拼凑起来便是flag,可以查看一下

在这里插入图片描述在这里插入图片描述
所以拼接起来即可组成flag

0x02:WEB扫描分析

常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas,Nessus,WebReaver,Sqlmap

有的CTF题会考察攻击者使用的是哪一种扫描器,所以在做这类题之前,先要了解各个扫描器所含的特征

AWVS

#url
acunetix
acunetix_wvs
acunetix_test
#headers
Host: acunetix_wvs_security_test
Cookie: acunetix_wvs_security_test
Cookie: acunetix
Accept: acunetix/wvs
#body
acunetix_wvs_security_test
acunetix

Nessus

#url
nessus
Nessus
#headers
x_forwarded_for: nessus
referer: nessus
host: nessus
#body
nessus
Nessus

等等,详细的就不再列出,可以参考师傅的博客
https://www.77169.net/html/259708.html
https://www.freebuf.com/column/156291.html

既然知道了各个扫描器的特征,就使用如下命令查询

http contains “扫描器特征值”

在这里插入图片描述
过滤之后便可以发现明显的awvs的特征,所以黑客使用的扫描器是awvs

0x03:后台目录爆破

涉及到爆破,就要发大量的请求,如黑客使用御剑等工具进行目录扫描,会发送很多请求,因为是在遍历字典中的一些目录,所以捕获到数据包中会有一大片都是扫描目录的而且还是404 Not Found

ip.addr==192.168.32.189 && http contains "404"

在这里插入图片描述
在这里插入图片描述

0x04:后台账号密码爆破

当黑客扫描到后台登陆页面时,肯定会先使用万能密码和弱口令进行尝试,而登陆页面一般都是POST请求,万能密码和弱口令一般都是含有admin的,而且登陆页面一般是有login这个关键字的,所以可以利用这些进行过滤。

http.request.method == "POST" && http contains "login"

最低0.47元/天 解锁文章
lemonl1
关注
  • 7
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安恒八月流量分析 (详细的解题过程和思路(mailtwo.pcap,mailtwo1.pcap,mailtone.pcap,mailtwo.pcap等)
路baby的博客
10-13 1554
安恒八月流量分析 (详细的解题过程和思路(mailtwo.pcap,mailtwo1.pcap,vpnone.pcap,vpntwo.pcap,mailtone.pcap,mailtwo.pcap) ctf-流量分析
渗透测试流程
zoubf的专栏
08-26 546
1.先配合dnslog平台,测试dnslog平台能否获取到服务器的访问记录,如果没有对应记录,也可能是服务器不出网造成的,利用时可以通过请求响应时间判断内网资产是否存在,然后再利用内网资产漏洞(比如redis以及常见可RCE的web框架)证明漏洞的有效性。通过域成员主机,定位出域控制器IP及域管理员账号,利用域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主机IP,设法从域成员主机内存中dump出域管理员密码,进而拿下域控制器、渗透整个内网。...
流量分析——安恒八月月赛CTF
xiaogaoxiaoyuan的博客
01-09 3457
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
流量分析安恒八月赛)
whale_waves的博客
11-23 518
这里看a.php流量,能发现a.php用的是1234作为密码,并且从@eval并且传输参数base64加密来看,看起来像是菜刀的特征。这道题似乎是想让你看黑客通过webshell来看robots.php的流量,我做到后面分析黑客通过webshell执行的命令才看到。这里我直接查找的POST流量,这里能明显看到,黑客在成功登陆以后通过某个东西上传了一个a.php文件。这里能看到黑客在登陆后成功访问了admin/index.php,所以上一条流量就是成功登录的账户密码。
流量分析常用总结——安恒八月月赛(根据https://blog.51cto.com/u_15400016/4291217参考,编写自己的想法)
qq_41818842的博客
10-13 464
当黑客扫描到后台登陆页面时,肯定会先使用万能密码和弱口令进行尝试,而登陆页面一般都是​​POST​​请求,万能密码和弱口令一般都是含有​​admin​​的,而且登陆页面一般是有​​login​​这个关键字的,所以可以利用这些进行过滤。输入命令:http.request.method=="POST" &&http contains "eval" 进行追踪。输入命令http.request.method ==POST&& http contains "main"进行过滤。php @eval"
流量分析安恒八月月赛
Loners_fan的博客
01-10 3853
文章目录流量分析一、题目背景二、关卡列表三、解题过程1.黑客使用的扫描器2.黑客扫描到的登录后台3.黑客登录使用的账号密码4.webshell文件名和内容5.robots.txt中的flag6.数据库密码7.hash_code8.黑客破解了账号ijnu@test.com得到的密码是什么9.被黑客攻击的web服务器,网卡配置是什么,提交网卡内网ip10.黑客使用了什么账号登陆了mail系统11.黑客获得的vpn的ip是多少 流量分析 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服
安恒月赛题目参赛源码+项目说明.zip
01-23
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。 ...安恒月赛题目参赛源码+项目说明.zip
2018-10月安恒逆向题目
10-29
2018年10月安恒月赛逆向题目。
安恒8月应急响应题目回顾-附件资源
03-05
安恒8月应急响应题目回顾-附件资源
安恒_务实的网络安全.pdf
08-15
安恒_务实的网络安全 业务安全
流量分析——安恒科技(八月CTF)
JohnnyG2000的博客
01-13 5199
这里写目录标题流量分析一、题目背景二、关卡列表三、解题过程1、黑客使用的扫描器2、黑客扫描到的登陆后台3、黑客登陆web后台所使用的账号密码(形式:username/password)4、黑客上传的webshell文件名、内容以及内容的base编码5、黑客找到的robots.txt中的flag6、黑客找到的数据库密码7、黑客在数据库中找到的hash_code8、黑客破解账号ijnu@test.com得到的密码9、黑客攻击的web服务器的网卡配置和网卡内网IP10、黑客登陆了mail系统所使用的账号和密码(形
记一次流量分析实战——安恒科技(八月ctf)
热门推荐
Battery的博客
05-07 9万+
一.题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。 二.关卡列表 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器? 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是? 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台? 某公司内网网络被黑
安恒周周练15(流量分析1~4)——20180902
原味瓜子、的博客
09-02 3047
题目:https://pan.baidu.com/s/1139Qisn8H3TmOboj5puY9Q 提取码:bp6f 题目描述 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户,随后利用破解的密码登录了mail系统,然后获取了vpn的申请方式,然后登录vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下列问题: 过程分析: 1、攻击web服务...
2021-05-03Wireshark流量包分析
m0_37442062的博客
05-03 3049
目录 WEB扫描分析 后台目录爆破分析 后台账号爆破 WEBSHELL上传 其他题目 参考链接 WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。 WEB扫描分析 题型: 通过给出的流量包获取攻击者使用的WEB扫描工具。 解题思路: 常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,We...
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
Nmap扫描工具流量特征
最新发布
m0_62207482的博客
03-28 575
但是User-Agent可以被修改,如果被修改的话,我们可以通过告警的次数进行判断(同一源IP),看是否是大量的扫描告警,来进行进一步判断。如果Nmap扫描探测服务过程中如有HTTP协议,则User-Agent也会有明显的特征。例如会出现nmap关键字。
NTUCTF总结
qq_44657899的博客
12-01 1569
uploud 第一次做文件上传这类题,大概知道了这类题是怎么做的。 这道题有两种方法: 一,base64加密解密绕过: 1,把一句话木马base64加密 <?php @eval($_POST['pass']); ?> PD9waHAgQGV2YWwoJF9QT1NUWydwYXNzJ10pOyA/Pg== //base64加密后。 2,将base64加密后的密文保存到 ok.t...
网安学习日志(5)流量分析基础
qq_41819426的博客
01-10 4135
题干: 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/p
【工具及入侵检测篇】网络安全面试
大河之犬的博客
04-08 4612
③如果通过“Welcome Banner”无法确定应用程序版本,那么nmap会再尝试发送其他的探测包(即从nmap-services-probes中挑选合适的probe),将probe得到回复包与数据库中的签名进行对比。注意需要处理一下cs服务器,需要自定义一个profile文件,这是因为,云函数在与teamserver通信的时候会进行一些编码操作,对应的我们cs服务器需要对其相应的解码操作,因此需要创建一个profile文件(处理一下数据),cs服务器才能有命令执行成功的回显。
安恒堡垒机 root密码
09-08
安恒堡垒机是一款网络安全产品,用于管理和控制企业的网络设备,保障网络的安全。其中的root密码是用于登录和操作安恒堡垒机的超级管理员账户。 root密码在安恒堡垒机中具有最高的权限,只有拥有root密码的用户才能执行一些特殊的操作,如配置设备、修改权限、管理用户等。 为了确保安全性,建议设置强密码作为root密码,包括大小写字母、数字和特殊字符的组合,并定期更换密码。同时,也应该遵循一些常规的安全原则,如不将root密码告知他人、不在公共场所输入密码等。 对于忘记root密码的情况,我们可以通过以下方式进行找回或重置: 1. 利用默认的账户,如admin或administrator登录,并在设置中找到重置密码的选项。按照系统的提示进行操作,重新设置root密码。 2. 如果无法通过默认账户找回密码,可以尝试使用密码找回功能。输入已绑定的安全邮箱或手机号码,根据系统的提示进行操作,重新设置root密码。 3. 如果以上方法无法找回密码,可以联系安恒堡垒机的技术支持,提供必要的身份证明和证明所有权的相关材料,请求技术支持人员协助重置密码。 总之,root密码对于安恒堡垒机来说非常重要,我们应该妥善保管和管理,确保只有授权的人员能够使用和操作堡垒机,从而提高企业的网络安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值