TryHackMe-Carnage

最新推荐文章于 2024-09-14 20:21:57 发布
最新推荐文章于 2024-09-14 20:21:57 发布
阅读量558 收藏
点赞数
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: wireshark 流量分析 挑战 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/128960524
版权

Carnage

花了两天学了下wireshark

在这里插入图片描述

顺便看一下现在我的红队进程

在这里插入图片描述

由于ad在进攻性渗透测试当中已经早早收入囊中,这让我在红队进度中变快

现在,红队路径剩下的room应该都算是在整个path当中比较有难度的了,我不经意的查看了剩下的部分room,我想这需要比以往更多的时间和精力去学习它

在此之前,我需要巩固过去的知识,顺便完成最近的比赛

Bartell Ltd 采购部门的 Eric Fischer 收到了一封来自已知联系人的电子邮件,其中包含 Word 文档附件。打开文档后,他不小心点击了“启用内容”。SOC 部门立即收到端点代理的警报,指出 Eric 的工作站正在出站建立可疑连接。从网络传感器中检索 pcap 并交给您进行分析。

任务:调查数据包捕获并发现恶意活动。

与恶意 IP 的第一次 HTTP 连接的日期和时间是什么?

调整显示时间的格式

在这里插入图片描述

显示过滤器过滤http即可获得答案

在这里插入图片描述

下载的 zip 文件的名称是什么?&& 从中下载 zip 文件的恶意 IP 的网络服务器的名称是什么?

http.request.uri contains ".zip"

在这里插入图片描述

如果不下载文件,zip 文件中的文件名称是什么?

选定上个任务中的流量,导出对象 -> HTTP,将第一条documents.zip保存到本地

在这里插入图片描述

打开文件即可获得答案

在这里插入图片描述

从中下载 zip 文件的恶意 IP 的网络服务器的名称是什么?&& 上一个问题的网络服务器版本是什么?

查找服务器发送的http包

ip.src == 85.187.128.24 && http

在这里插入图片描述

恶意文件从多个域下载到受害主机。这项活动涉及的三个域是什么?

根据题目提示,在指定时间范围内

查找tls客户端请求类型的数据包

frame.time >= "Sep 24, 2021 16:45:11" && frame.time <= "Sep 24, 2021 16:45:30" && tls.handshake.type == 1

在这里插入图片描述

哪个证书颁发机构向上一个问题中的第一个域颁发了SSL证书?

跟到那个数据包的位置,在查找certificate类型的数据包,就能找到答案

在这里插入图片描述

Cobalt Strike服务器的两个IP地址是什么?使用 VirusTotal(“社区”选项卡)确认 IP 是否被标识为 Cobalt Strike C2 服务器

根据题目要求,使用 VirusTotal 进行恶意分析

首先将会话统计,我觉得c2通信的通信量应该不会少,所以将数据量降序排列,丢到VirusTotal进行分析

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

上一个问题中第一个CS服务器 IP 地址的主机标头是什么?

ip.dst == 185.106.96.158 && http

在这里插入图片描述

Cobalt Strike服务器的第一个IP地址的域名是什么?

在这里插入图片描述

第二个CS服务器IP的域名是什么?

有两个,旧的是答案,最新的域名可能出在房间建立之后

在这里插入图片描述

受害主机发送到感染后流量中涉及的恶意域的前 11 个字符是什么?

在这里插入图片描述

发送到 C2 服务器的第一个数据包的长度是多少?

在这里插入图片描述

上一个问题中恶意域的服务器标头是什么?

跟过去找到响应头

在这里插入图片描述

该恶意软件使用 API 来检查受害者机器的 IP 地址。对 IP 检查域进行 DNS 查询的日期和时间是什么? && 上一个问题的 DNS 查询中的域是什么?

dns.qry.name contains "api"

在这里插入图片描述

看起来有一些恶意垃圾邮件(恶意垃圾邮件)活动正在进行。在流量中观察到的第一个邮件发件人地址是什么?

lower(smtp.req.parameter) contains "from"

在这里插入图片描述

观察到 SMTP 通信有多少个数据包?

在这里插入图片描述

Sugobet
关注
专栏目录
tryhackme--Kenobi
qq_43200143的博客
12-11 494
信息收集,nmap扫描 Samba枚举 利用nmap的脚本 nmap -p 445 --script=smb-enum-shares.nse,smb-enum-users.nse target 发现三个分享 进行smb连接 smbclient //<ip>//sharename 又是一个 未设置密码就可以登录的,发现有一个文件在里面 递归下载文件(不用用户名密码)smbget -R smb://<ip&gt...
tryhackme--Wgel CTF
qq_45414878的博客
10-23 416
tryhackme--Wgel CTFnmapid_rsa信息泄漏wget的sudo提权 nmap 简单扫描靶机的服务 nmap -T4 -sS -sV 10.10.247.24 深度扫描也没没有什么可以直接利用的漏洞 目标机器为linux主机,并且目标主机开放了两个端口:22、80。 端口 服务 22 ssh 80 http id_rsa信息泄漏 访问80端口,发现为apache的默认页面,查看页面源代码,发现一句很有趣的话,其中 Jessie 可能为用户名 用dirsear
TryHackMe-Wreath [网络杀伤链](windows网络)渗透测试
M1n9K1n9的博客
02-19 2062
了解如何通过破坏面向公众的 Web 计算机并通过隧道传输流量以访问 Wreath 网络中的其他计算机来透视网络。
Tryhackme-Extra Credit
个人博客
08-26 327
Extra Credit 文章目录Extra CreditMr Rebot CTFTask1 Connect to our networkTask2 Hack the machineRetroTask1 Pwn Mr Rebot CTF Task1 Connect to our network nmap扫描确认端口开启状况,靶机只开启了80/443web端口和22端口,中间件为Apache Task2 Hack the machine 1.What is key 1? 目录扫描发现CMS word
Tryhackme-Kenobi靶机
MSB_WLAQ的博客
10-06 560
前言 一个国外的渗透学习网站,补基础知识点还是不错的,适合新人学习网络安全(因为学习项目里有提示)。 知识点 可直接开启web的虚拟机[非会员每天只有一个小时],也可以使用VPN连接(个人建议还是用VPN爽点,毕竟自己的机子工具啥的用起来方便)。 samba Samba是适用于和Unix的标准Windows互操作性程序套件。它允许最终用户访问和使用公司内联网或互联网上的文件、打印机和其他常见共享资源。它通常被称为网络文件系统。 Samba基于服务器消息块 (SMB) 的通用客户端/服.
extreme carnage-开源
04-27
具有特殊游戏玩法的2D视频游戏,由太阳前锋和塔防混合而成。 顶级相机,拍摄即将到来的敌人,购买武器,放置自动炮塔,程序生成的地形以及可调的物体密度...
carnage-engine-开源
04-27
屠杀引擎(Carnage Engine)是一个基于C++的轻量级游戏开发框架,它充分利用了SDL(Simple DirectMedia Layer)和SDL_mixer库的功能,为开发者提供了一个高效且易用的2D游戏开发环境。SDL是一个跨平台的多媒体库,而...
carnage3d:重新实现侠盗猎车手1 [GTA1]
05-03
屠杀3D 这是开源的侠盗猎车手1(Grand Theft Auto 1)翻拍项目。 地位 目前尚处于早期阶段,到目前为止是一个进展: : 借助现代技术,现在可以直接在Web浏览器中播放! 尝试 (在Chrome v85 64位和Firefox v81.0....
TryHackMe-渗透测试12_log
M1n9K1n9的博客
12-22 335
Shell and WebShell
Tryhackme-Overpass
个人博客
09-06 1250
Overpass 文章目录OverpassOverpassTask1 OverpassOverpass 2 - Hackedtask1 Forensics - Analyse the PCAPtask2 Research - Analyse the codetask3 Attack - Get back in!Overpass 3-HostingTask1 Overpass3 - Adventures in Hosting Overpass Task1 Overpass nmap扫描,靶机开启22-ssh
渗透工具之CS4.0使用说明书
m0_59991869的博客
10-14 4818
CS4.0使用说明书 目录 安装 使用 运行 监听器 listner 使用 不同监听介绍 木马 生成后门 钓鱼攻击 邮件钓鱼 功能 上部选项栏 下部工具栏 beacon的使用 会话功能 安装使用 安装 系统环境:需要java环境Oracle Java 1.8,Oracle Java 11 下载解压就可以使用 使用 首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地 服务端启动命令 windows 运行teamserver
Welcome to TryHackMe --- 我在TryHackMe学习的第90天
热门推荐
M1n9K1n9的博客
02-27 1万+
TryHackMe以下内容均为个人感言,没有收thm一分钱2022年11月30号,我通过搜索引擎发现了TryHackMe这个平台,正如它所说的那样,这一切就像打游戏,你在游戏当中学习到知识,这是非常的快乐的注:(每个room都有对应的不同的靶机)你还在担心怎么学的时候,TryHackMe已经为你准备好了几个路径,只需要无脑跟着路径学就可以了每条路径都包含了相应的教学room,你将会在这些room中一边学一边实践tryhackme还有许多模块,每个模块当中包含着与其相关的许多个room。
设备面试题+蓝队知识题+流量
LCW991207的博客
04-02 1980
fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。服务端提供了能够从其他服务器应用获取数据的功能,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求,进行未授权访问。OA啊,等等,做的真实一点点。
TryHackMe-Ra(windows)
M1n9K1n9的博客
04-14 418
您已经找到了WindCorp的内部网络及其域控制器。你能打开他们的网络吗?您已经获得了WindCorp的内部网络的访问权限,这家价值数十亿美元的公司正在运行广泛的社交媒体活动,声称自己是不可破解的(哈!这个说法太多了!下一步将是拿走他们的皇冠上的宝石并获得对内部网络的完全访问权限。您已经发现了一台新的Windows机器,可能会引导您实现最终目标。你能征服这个最终老板并拥有他们的内部网络吗?
TryHackMe新手村
weixin_55154296的博客
04-17 7861
TryHackMe 最近在外网发现了一个在线黑客学习网站:TryHackMe ,缺点是好像需要一些上网技巧,而且全英,免费用户每天只能用一小时,付费(大概一个月6、70)无限制. 以下附上刚入门时的坑 在tutorial的第一个问题,问的是 Follow the steps in this task. What is the flag text shown on the website of the machine you started on this task? 意思我都读懂了,但是我填flag、c
TryHackMe | Blue Writeup (超干货详细msf渗透使用指南)
qq_25755011的博客
02-04 6901
因为给师弟师妹布置了这个任务作为假期渗透作业,是个对ms17_010漏洞利用的学习,而且网上中文的writeup很少(好像直接没有),所以写一篇Writeup记录一下。刚好也是一个相对完整的msf使用介绍,如有错误的地方欢迎各位师傅讨论指出 tryhackme是个很好的外网网络攻防学习平台,不用VPN也可以正常使用只是稍微有点卡,各位师傅有兴趣也可以去玩一玩。这里把这题的题目链接放给大家 TryHackMe | Blue 前期准备 kali Linux (仅用到msf框架与nmap) openvpn与.
windows溯源取证,应急响应案例:tryhackme之 Investigating Windows
qq_43200143的博客
04-13 4860
文章目录Investigating WindowsWhats the version and year of the windows machine?Which user logged in last?When did John log onto the system last?What IP does the system connect to when it first starts?What two accounts had administrative privileges (other than
【信创】麒麟KOS上安装使用网络抓包工具Wireshark
鹏大圣运维
09-11 426
Hello,大家好啊!今天给大家带来一篇关于如何在麒麟桌面操作系统上安装和使用Wireshark的文章。Wireshark是一款强大的网络协议分析工具,广泛应用于网络故障排查、网络流量监控和网络安全分析。本文将详细介绍在麒麟桌面操作系统上如何安装Wireshark,并展示一些常见的使用场景和操作步骤。欢迎大家分享转发,点个关注和在看吧!
音视频推流中使用wireshark进行抓包分析RTMP
最新发布
weixin_48444982的博客
09-14 641
最近使用开发板采集音视频数据合成FLV流后进行推流到PC端(RTMP协议),PC端需要安装对应的nginx以及支持rtmp的nginx,在网上找了教程后安装成功,现在使用wireshark工具对开发板于pc端之间的通信协议进行解析。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值