流量分析_安恒八月月赛

最新推荐文章于 2024-08-07 16:08:30 发布
最新推荐文章于 2024-08-07 16:08:30 发布
阅读量4.1k 收藏 23
点赞数 8
分类专栏: 流量分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43431158/article/details/107176918
版权
本文介绍了安恒八月月赛的流量分析过程,涉及流量包修复、WEB扫描器识别、后台目录爆破、账号密码爆破、Webshell上传等环节。通过Wireshark等工具,分析黑客使用的扫描器、登陆后台、上传的webshell、数据库密码、hash_code、邮件系统账号等关键信息。
摘要由CSDN通过智能技术生成

前言:

流量分析很有意思,之前忙于考试,暂时没有学习了,考试结束了就来总结一下一些CTF下常见的流量分析的题型。

0x00:流量包修复

在这里插入图片描述
使用wireshark打开流量包发现报错,可以使用在线pacp包修复工具进行修复
http://f00l.de/hacking/pcapfix.php
在这里插入图片描述
修复好之后再重新打开,翻了一下发现
在这里插入图片描述
这些包中的ID拼凑起来便是flag,可以查看一下

在这里插入图片描述在这里插入图片描述
所以拼接起来即可组成flag

0x02:WEB扫描分析

常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas,Nessus,WebReaver,Sqlmap

有的CTF题会考察攻击者使用的是哪一种扫描器,所以在做这类题之前,先要了解各个扫描器所含的特征

AWVS

#url
acunetix
acunetix_wvs
acunetix_test
#headers
Host: acunetix_wvs_security_test
Cookie: acunetix_wvs_security_test
Cookie: acunetix
Accept: acunetix/wvs
#body
acunetix_wvs_security_test
acunetix

Nessus

#url
nessus
Nessus
#headers
x_forwarded_for: nessus
referer: nessus
host: nessus
#body
nessus
Nessus

等等,详细的就不再列出,可以参考师傅的博客
https://www.77169.net/html/259708.html
https://www.freebuf.com/column/156291.html

既然知道了各个扫描器的特征,就使用如下命令查询

http contains “扫描器特征值”

在这里插入图片描述
过滤之后便可以发现明显的awvs的特征,所以黑客使用的扫描器是awvs

0x03:后台目录爆破

涉及到爆破,就要发大量的请求,如黑客使用御剑等工具进行目录扫描,会发送很多请求,因为是在遍历字典中的一些目录,所以捕获到数据包中会有一大片都是扫描目录的而且还是404 Not Found

ip.addr==192.168.32.189 && http contains "404"

在这里插入图片描述
在这里插入图片描述

0x04:后台账号密码爆破

当黑客扫描到后台登陆页面时,肯定会先使用万能密码和弱口令进行尝试,而登陆页面一般都是POST请求,万能密码和弱口令一般都是含有admin的,而且登陆页面一般是有login这个关键字的,所以可以利用这些进行过滤。

http.request.method == "POST" && http contains "login"

最低0.47元/天 解锁文章
lemonl1
关注
专栏目录
安恒八月流量分析 (详细的解题过程和思路(mailtwo.pcap,mailtwo1.pcap,mailtone.pcap,mailtwo.pcap等)
路baby的博客
10-13 2070
安恒八月流量分析 (详细的解题过程和思路(mailtwo.pcap,mailtwo1.pcap,vpnone.pcap,vpntwo.pcap,mailtone.pcap,mailtwo.pcap) ctf-流量分析
流量分析——安恒八月月赛CTF
xiaogaoxiaoyuan的博客
01-09 3639
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
流量分析系统开源/14个高效网站流量分析工具_零基础渗透技巧
最新发布
程序员三九的博客
08-07 747
找到最适合你需要的工具可能很棘手,因为有这么多的选择。在这篇文章中,我们特意列出了准确评估网站流量的14种顶级工具。
流量分析安恒八月赛)
whale_waves的博客
11-23 787
这里看a.php流量,能发现a.php用的是1234作为密码,并且从@eval并且传输参数base64加密来看,看起来像是菜刀的特征。这道题似乎是想让你看黑客通过webshell来看robots.php的流量,我做到后面分析黑客通过webshell执行的命令才看到。这里我直接查找的POST流量,这里能明显看到,黑客在成功登陆以后通过某个东西上传了一个a.php文件。这里能看到黑客在登陆后成功访问了admin/index.php,所以上一条流量就是成功登录的账户密码。
流量分析常用总结——安恒八月月赛(根据https://blog.51cto.com/u_15400016/4291217参考,编写自己的想法)
qq_41818842的博客
10-13 717
当黑客扫描到后台登陆页面时,肯定会先使用万能密码和弱口令进行尝试,而登陆页面一般都是​​POST​​请求,万能密码和弱口令一般都是含有​​admin​​的,而且登陆页面一般是有​​login​​这个关键字的,所以可以利用这些进行过滤。输入命令:http.request.method=="POST" &&http contains "eval" 进行追踪。输入命令http.request.method ==POST&& http contains "main"进行过滤。php @eval"
流量分析安恒八月月赛
Loners_fan的博客
01-10 3988
文章目录流量分析一、题目背景二、关卡列表三、解题过程1.黑客使用的扫描器2.黑客扫描到的登录后台3.黑客登录使用的账号密码4.webshell文件名和内容5.robots.txt中的flag6.数据库密码7.hash_code8.黑客破解了账号ijnu@test.com得到的密码是什么9.被黑客攻击的web服务器,网卡配置是什么,提交网卡内网ip10.黑客使用了什么账号登陆了mail系统11.黑客获得的vpn的ip是多少 流量分析 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服
流量分析——安恒科技(八月CTF)
JohnnyG2000的博客
01-13 5653
这里写目录标题流量分析一、题目背景二、关卡列表三、解题过程1、黑客使用的扫描器2、黑客扫描到的登陆后台3、黑客登陆web后台所使用的账号密码(形式:username/password)4、黑客上传的webshell文件名、内容以及内容的base编码5、黑客找到的robots.txt中的flag6、黑客找到的数据库密码7、黑客在数据库中找到的hash_code8、黑客破解账号ijnu@test.com得到的密码9、黑客攻击的web服务器的网卡配置和网卡内网IP10、黑客登陆了mail系统所使用的账号和密码(形
安恒8月应急响应题目回顾
0verWatch的博客
08-30 5825
前言 最做流量分析的题目感觉还是不太熟悉,所以最近几篇博客都应该都是练习流量分析的题目了,就从安恒8月赛这个应急响应讲起吧,记录一下加深印象,顺便小结一下自己的做题领悟。 题目地址 https://pan.baidu.com/s/13SoD6xB7YBiqpUDCIcb8mg 正文 题目概述 1、给出黑客使用的扫描器 2、得到黑客扫描到的登陆后台是(相对路径即可) /admin/l...
2018安恒杯10月月赛RE&MISC周周练
qq_42192672的博客
11-18 3049
十月月赛反正我是错过了,这次周周练有四道题来看看,菜鸡就该多学习 1.easytree 拖进linux,发现跑不起来,eng? file一下,结果发现是exe PEID查一下 upx壳,直接脱,拖进IDA,直接看main函数 依次分析一下函数吧,2400不知道是啥,198E里面就是欢迎我们的字符串 我们输入的的字符串长度要是15才行 最后我们运算一通之后字符串要转变为aW...
记一次流量分析实战——安恒科技(八月ctf)
热门推荐
Battery的博客
05-07 14万+
一.题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。 二.关卡列表 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器? 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是? 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台? 某公司内网网络被黑
安恒周周练15(流量分析1~4)——20180902
原味瓜子、的博客
09-02 3132
题目:https://pan.baidu.com/s/1139Qisn8H3TmOboj5puY9Q 提取码:bp6f 题目描述 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户,随后利用破解的密码登录了mail系统,然后获取了vpn的申请方式,然后登录vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下列问题: 过程分析: 1、攻击web服务...
2018-10月安恒逆向题目
10-29
2018年10月安恒月赛逆向题目。
网络安全流量分析
qq_50573282的博客
07-05 2126
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。
2021-05-03Wireshark流量包分析
m0_37442062的博客
05-03 3450
目录 WEB扫描分析 后台目录爆破分析 后台账号爆破 WEBSHELL上传 其他题目 参考链接 WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。 WEB扫描分析 题型: 通过给出的流量包获取攻击者使用的WEB扫描工具。 解题思路: 常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,We...
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
Nmap扫描工具流量特征
m0_62207482的博客
03-28 902
但是User-Agent可以被修改,如果被修改的话,我们可以通过告警的次数进行判断(同一源IP),看是否是大量的扫描告警,来进行进一步判断。如果Nmap扫描探测服务过程中如有HTTP协议,则User-Agent也会有明显的特征。例如会出现nmap关键字。
NTUCTF总结
qq_44657899的博客
12-01 1608
uploud 第一次做文件上传这类题,大概知道了这类题是怎么做的。 这道题有两种方法: 一,base64加密解密绕过: 1,把一句话木马base64加密 <?php @eval($_POST['pass']); ?> PD9waHAgQGV2YWwoJF9QT1NUWydwYXNzJ10pOyA/Pg== //base64加密后。 2,将base64加密后的密文保存到 ok.t...
【工具及入侵检测篇】网络安全面试
大河之犬的博客
04-08 4701
③如果通过“Welcome Banner”无法确定应用程序版本,那么nmap会再尝试发送其他的探测包(即从nmap-services-probes中挑选合适的probe),将probe得到回复包与数据库中的签名进行对比。注意需要处理一下cs服务器,需要自定义一个profile文件,这是因为,云函数在与teamserver通信的时候会进行一些编码操作,对应的我们cs服务器需要对其相应的解码操作,因此需要创建一个profile文件(处理一下数据),cs服务器才能有命令执行成功的回显。
流量分析基础篇
weixin_30333885的博客
11-09 1万+
流量分析 1.流量分析是什么?   网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。   CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。 2.数据包分析 总体把握 – 协议分级 – 端点统计 过滤赛选 – 过滤...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值