数字取证与分析-----logs.pcapng

最新推荐文章于 2024-06-04 14:34:05 发布
最新推荐文章于 2024-06-04 14:34:05 发布
阅读量2.1k 收藏 31
点赞数 3
文章标签: 服务器 网络 wireshark 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50377269/article/details/127231403
版权

数据分析-logs

1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户目录扫描的第9个文件,并将该文件名作为Flag(形式:[robots.txt])提交:

通过分析:恶意用户为172.16.1.10

目录扫描文件,从站点去扫描具体的文件,指向http

ip.src == 172.16.1.10 and http

 

Flag:[star.php]

2.继续查看数据包文件logs.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交:

在这个数据包中,包含有两种协议数据包,一为http,一为tcp

ip.src == 172.16.1.10 and tcp

 

Flag:[21,80,445,1433,3306,3389,5000]

3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag(形式:[robots.txt])提交:

http协议过滤,前边为目录文件检索

最后在index.php页面进行SQL注入

 

 

Flag:[name.txt]

4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag(形式:[/root/whoami/])提交:

通过查包,看到有@eval,追流

发现通过数据库写入一句话木马007.php

 

 

 

 

Flag:[C:/phpstudy/www/]

5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag(形式:[一句话密码])提交:

 

Flag:[007]

6.继续查看数据包文件logs.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为Flag(形式:[文件名.后缀名])提交:

 

Flag:[flag.zip]

7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag(形式:[文件内容])提交:

 

Flag:[flag{Find You!}]

旺仔Sec
关注
  • 3
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
wirehark数据分析取证attack.pcap
Aluxian_的博客
04-20 7207
什么是wireshark?wiresharekattack.pcap数据包数据包下载 请私信博主 wiresharek Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。 atta
2023年江西省职业院校技能竞赛“网络安全”赛项样题
旺仔Sec&blog
11-02 1281
二、竞赛注意事项1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2.请根据大赛所提供的竞赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。3.在进行任何操作之前,请阅读每个部分的所有任务。各任务之间可能存在一定关联。模块编号4.操作过程中需要及时按照答题要求保存相关结果。竞赛结束后,所有设备保持运行状态,评判以最后提交的成果为最终依据。5.竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将。
【电子取证Wireshark教程:从流量包中导出文件
最新发布
longxintec的博客
06-04 1334
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件,使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析中,往往需要从获取到的流量包中导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件—导出对象—SMB,就可以导出SMB流量中的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
Wireshark之攻击流量分析
qq_52486507的博客
03-10 3300
7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值(形式:[文件内容])提交。5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag。3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag值。4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag值。所以Flag的值:Flag:[flag.zip]
针对pcap文件格式的源ip地址、目的ip地址信息的读取
adsjas的博客
12-30 1931
以下是对数据集进行源ip、目的ip提取的python3代码(如果是用python2 ,if type[0] == 8 and type[1] == 0:应改为if type==’/x08/x00’).代码原理非常简单,即用read()函数对数据集内容按字节读取,生成元组data。再按照数据报格式把所需要的源ip地址信息、目的ip地址信息、长度信息读取出来,并不断循环直到解析结束为止 pcap文件格式如下图: import datetime import struct import os import ti
wireshark数据包分析取证attack.pcapng
m0_74025111的博客
08-31 816
7.继续查看数据包文件attack.pacapng提取出黑客下载的文件,并将文件里面的内容为FLAG(形式:【文件内容】)提交: FLAG:【Manners maketh man】直接筛选黑客IP:ip.addr == 172.16.1.102 FLAG: 21 80 3389 445 5007。方法:使用binnwalk -e attack.pcapng 再将kali数据包中的flag文件分离出来就ok啦!
ingress-nginx-controller-1.9.yaml
10-18
《Ingress-Nginx控制器与应用部署详解》 在 Kubernetes 集群中,Ingress 是一种用于对外提供服务的资源对象,它定义了外部网络如何访问内部的 Service。Nginx Ingress 控制器是广泛应用的一种解决方案,通过配置 ...
apache-tomcat-8.5.83.tar.gz
01-19
8. **监控与性能优化**: - 使用JMX(Java Management Extensions)可以监控Tomcat的运行状态,例如内存使用、线程池状态等。 - 通过调整 `conf/catalina.properties` 和 `conf/server.xml` 中的配置,可以优化JVM...
apache-tomcat-9.0.54-deployer.tar.gz
10-15
- 配置`logging.properties`文件来调整日志级别,便于故障排查和性能分析。 - 调整`conf/catalina.properties`和`conf/server.xml`中的参数,优化内存分配、连接池大小等,以适应不同的应用场景。 总的来说,`...
logs.pcapng解析.docx
01-13
今天,我们将使用 Wireshark 分析 logs.pcapng 数据包文件,探索恶意用户的活动痕迹。 一、恶意用户目录扫描 在数据包文件 logs.pcapng 中,我们可以使用 Wireshark 查看恶意用户的目录扫描活动。通过使用过滤器 ...
presto-server-0.196.tar.gz
10-12
8. **日志与监控**:Presto的日志文件位于`logs`目录下,提供查询日志、错误日志等,便于问题排查。同时,Presto提供了JMX接口,可以集成Prometheus或Grafana进行监控。 9. **性能调优**:针对特定查询场景,可以...
网络空间安全市赛Misc一道简单的流量分析
热门推荐
Mark的博客
11-28 1万+
这道题给了一个流量包,内部分了7个小题 1:首先可以在导出HTTP中查看攻击流量 第一题的flag答案便是: [172.16.1.101] 2、查端口,我们找到黑客ip后便过滤ip,输入ip.addr==172.16.1.102 往下分析你会发现很集中的有端口扫描现象,黑客是通过37113来扫描的,你只需要看这些便可,便能得到flag,所以第二题flag为[21,23,80,445,3389,5007] 3/4两题、要分析出黑客最终获得的用户名就得找到黑客什么时候登录的,攻击点在哪里,那就用
中职流量包分析attack/capture(1)
weixin_47099592的博客
11-04 1690
我希望网络安全的世界大家可以贡献自己的一部分,而不是拿来自私自利作者拿到的流量包和题目是有出入的,但是因为出的题大同小异所以能分析出来。
Wirehark数据分析取证attack.pcapng
旺仔Sec&blog
10-16 520
Wirehark数据分析取证attack.pcapng
wirehark数据分析取证Alpha-1.pcapng
Aluxian_的博客
12-27 4592
什么是wireshark?wiresharekAlpha-1.pcapng数据包分析数据包已上传资源,有问题请私信博主 wiresharek Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分
数据包分析 infiltration
m0_46239567的博客
05-10 841
6.分析出被渗透主机的服务器系统 OS 版本全称是什么是,并将 OS 版本全称 作为 Flag(形式:[服务器系统 OS 版本全称])提交; 过滤出系统关键字 发现末尾又两个telnet流量 追踪流发现具体的系统版本和账号密码 1登录 FTP 下载数据包文件 infiltration.pacapng,找出恶意用户的 IP 地 址,并将恶意用户的 IP 地址作为 Flag(形式:[IP 地址])提交; 查看上题......
wireshark数据分析-attack.pcapng
qq_56025677的博客
06-20 542
2.获取数据包attack.pcapng分析黑客通过哪些服务着手攻击,将黑客暴力破解的服务名称及获取到的靶机密码作为flag提交(例:telnet,123456)5.获取数据包attack.pcapng分析黑客获取了shell之后,倒数第二条命令代表了SSH协议的版本,将SSH协议版本作为flag提交;​​​​​​4.获取数据包attack.pcapng分析黑客获取shell之后,查看了什么文件,将查看的文件名作为flag提交;用此查询方式就可以出现端口号 按照题目要求排序就可以了!
数字取证调查解析
JJH2724719395的博客
11-14 927
1.分析evil.pcapng数据包文件,通过分析数据包evil.pcapng找出恶意用户第一次访问HTTP服务的数据包是第几号,将该号作为Flag值提交。2.继续查看数据包文件evil.pcapng分析出恶意用户扫描了那些端口,将全部的端口号从小到大作为flag值(形式:端口1,端口2,端口3。4.继续查看数据包文件evil.pcapng分析出恶意用户写入的一句话木马的密码是什么,将一句话木马的密码作为flag值提交。过滤http协议,得到恶意用户第一次访问http的数据包为70d。
attack(2).pcapng解析
qq_59656429的博客
12-01 1293
端口名 n])从低到高提交;6.继续查看数据包文件 attack.pacapng分析出黑客成功入侵后执行的第二条命令的返回结果,并将执行的第二条命令返回结果作为 FLAG(形式: [第二条命令返回结果])提交;7.继续查看数据包文件 attack.pacapng分析出黑客成功入侵后执行的第三条命令的返回结果,并将执行的第三条命令返回结果作为 FLAG(形式: [第三条命令返回结果])提交。
..-./.-../.-/--./----.--/-../...--/..-./-.-./-.../..-./.----/--.../..-./----./...--/----./----./...../-----/....-/-----.-
08-09
7. 无法创建"/usr/local/tomcat-9.0.2/apache-tomcat-9.0.2-src/logs/catalina.out": 没有那个文件或目录 根据题目提供的内容,我无法确定这些引用内容的具体含义或者如何回答这个问题。请提供更多的上下文或者问题...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值