在线靶场-墨者-电子数据取证1星-网络数据分析溯源(查找下载文件的内容)

最新推荐文章于 2024-08-15 10:50:39 发布
最新推荐文章于 2024-08-15 10:50:39 发布
阅读量411 收藏
点赞数 1
分类专栏: 在线靶场-墨者题目 文章标签: 墨者学院-靶场题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42079912/article/details/98942299
版权
本文介绍了如何在墨者学院的在线靶场进行电子数据取证,特别是针对1星网络数据分析溯源问题。通过下载并解压文件,使用Wireshark过滤HTTP协议,搜索关键字找到1.zip和key.zip。进一步导出Http内容,解压key.zip得到含有关键信息的图片,从而获取解题的六位数字前缀。
摘要由CSDN通过智能技术生成

打开靶场网页,下载文件,解压后用wireshark打开。
在这里插入图片描述
根据题意我们知道某人从xxx.com网站上下载一压缩包,请找到压缩包内容。
从网站上下载走的是http协议,我们先过滤出http协议的数据来。
在这里插入图片描述
然后再使用Ctrl + F搜索zip。搜索中有一个1.zip和key.zip。看到key.zip我们便知道这个压缩包应该是题目中要查看内容的压缩包。
在这里插入图片描述
在wireshark中点击file>Export Objects>Http。把http中的内容导出。
在这里插入图片描述在这里插入图片描述
在导出文件中寻找key.zip文件。
在这里插入图片描述
打开key.zip&#x

最低0.47元/天 解锁文章
笑棋
关注
专栏目录
在线靶场-墨者-电子数据取证3-网络数据分析溯源(查找邮件内容)
weixin_42079912的博客
08-09 900
打开靶场网页,下载文件并解压。 根据题目得知有终端給gmail@qq.com发过邮件,请找到邮件内容中的电话号码。 于是我们使用Wireshark打开16.pcapng文件。因为QQ邮箱使用的协议有:电子邮件读取协议(POP3和IMAP)、简单邮件传输协议(s mtp),所以我们先过滤s mtp协议内容。再按Ctrl + F搜索gmail@qq.com。得到一条数据。(标识邮件的收件人以 RCP...
在线靶场-墨者-电子数据取证5-网络数据分析溯源(上传WebShell的IP地址)
weixin_42079912的博客
08-09 611
打开靶场网页,下载文件并压缩 根据题意发现有人成功上传了WebShell,请找到上传者的IP地址。 使用Wireshark打开21.pcapng文件,因为是上传WebShell,所以数据走得应该是http协议,使用POST请求方式。属于在Wireshark中输入http.request.method==POST。过滤出http协议POST请求的数据出来。查看数据,找到uploads上传,一般上传...
墨者 - 网络数据分析溯源(查找下载文件内容)
吃肉唐僧的博客
07-23 1004
下载文件,根据题目要求寻找解压文件 猜测是zip文件,直接字符串搜索 找到一个key.zip,想着直接看他的数据,没有出现类似传输数据的字符 后来参考了链接:https://zhuanlan.zhihu.com/p/31512066 试着追踪该包的tcp流 发现key.jpg,直接以原始数据导出来,.zip后缀 解压可获得key的图片 ...
CTF-网络数据分析溯源(查找下载文件内容)
asd158923328的博客
08-25 1633
根据题意 进入环境,下载文件,用wireshark打开 这一题一开始的思路是通过bindwalk进行分离(题目提示说是下载了zip),但是分离出来之后文件有些损坏只能从其他地方下手 通过使用wireshark导出文件的方式来进行分析导出http流量 导出后会发现有个key.zip下有张图片,将前六个值提交,get到flag ...
网络数据分析溯源(查找下载文件内容)
qq_36933272的博客
09-05 727
wireshark打开下载的包 先用http过滤,因为是压缩包,所以搜索关键字zip 把这个key.zip压缩文件导出来 解压得到图片
在线靶场-墨者-电子数据取证1-网络数据分析溯源(发布文章的IP地址)
weixin_42079912的博客
08-09 275
打开靶场网页,下载文件,解压并使用Wireshark打开。 根据题意得知有人从内网发布一篇文章到www.xwast.org上,请找出发布文章的IP。 发布一篇文章到www.xwast.org上应该是走http协议,于是我们过滤出http协议的数据,但是搜索http数据的时候发现了很多http的协议。因为数据太多,我们分析起来还是挺困难的。 发布文章的方式应该是POST请求方式。于是我们可以输入...
网络数据分析溯源(下载压缩包的IP地址)
asd158923328的博客
08-20 413
靶场地址: https://www.mozhe.cn/bug/detail/amhsZHQ2cXJXZGdlOW1iOEpLcWdDQT09bW96aGUmozhe 根据题意 进入环境,下载文件,用wireshark打开,过滤http contains DB.zip 验证获得key ...
网络数据分析溯源(HTTPS证书信息)
qq_36933272的博客
09-05 661
用wireshark打开数据包 因为是加密,用ssl过滤 要找公司的所属名称,所以搜索字段org 找到数据包,往下查看,公司的名称被编码成了utf8字符串 复制到任意网站搜索框里,显示是重庆xxxxx有限责任公司,输入得到key ...
在线靶场-墨者-电子数据取证1-Linux硬盘文件分析取证(MySQL操作记录)
weixin_42079912的博客
07-19 372
打开靶场网页,下载文件下载文件后是压缩文件,解压后发现是img镜像文件。img文件需要挂载才能读取。于是下载AccessData FTK Imager软件。下载地址:https://download.csdn.net/download/sunwen551/10839742 下载完软件后,点开软件,按照下图步骤: 找到root文件里的.mysql_history文件,在文件中查看数据库更改的...
在线靶场-墨者-电子数据取证1-远程电子数据取证-服务器分析(第5题)
weixin_42079912的博客
08-09 245
打开靶场环境,使用远程桌面连接。 方法一:进入主机后开始找寻key,最终发现key文本文件在C:WINDOWS路径下。 方法二:进入主机后,点击我的电脑>搜索>输入key进行搜索>搜索出来一个key文本文档,点开就是本题的key。 ...
在线靶场-墨者-电子数据取证4-网络数据分析溯源(数据库密码)
weixin_42079912的博客
08-09 549
打开靶场网页,下载文件并解压。 根据题目,知道发现有人操作了数据库,请找到连接数据库的密码。于是使用Wireshark打开22.pcapng文件。开始查询连接数据库的密码。 我们知道数据库常用端口号是:mysql的默认端口是3306、sqlserver默认端口号为:1433、oracle 默认端口号为:1521、DB2 默认端口号为:5000、PostgreSQL默认端口号为:5432。但是查询...
【实战学习】电子数据取证专题——网络数据分析溯源(下)
mozhe_的博客
03-14 2286
网络数据分析溯源(新增用户的身份证号) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的身份证号。 实训目标 1、掌握“Wireshark”的基本使用方法; 2、了解数据网络中传输的过程和协议; 靶场地址:https://www.mozhe.cn/bug/detail/146 网络数据分析溯源(发布文章...
网络安全靶场推荐,让你通过实操能快速提升实战技能!
最新发布
ewii12567的博客
08-15 853
自学网络安全知识,具备一定的理论基础,缺乏实战经验,想去网络靶场体验一下,通过实操能快速提升实战技能!
Wireshark抓取的数据文件提取
热门推荐
xiaopan233的博客
05-02 4万+
(第一种方法 直接使用wireshark自带的导出) 分离图片文件) wireshark在指定的数据流中提取文件很简单。先选中要提取文件数据包。wrieshark都会标明文件的类型。所以我们也就能够区分出这是一个什么类型的文件。 选中图片的数据一大行 右键,导出数据包 给导出的文件起个名字。然后保存即可。 成功从wrieshark中分离出了图片 分离...
wireshark抓取网络数据
qq_46359931的博客
11-20 1745
目录疯狂聊天程序分析wireshark抓包参考 疯狂聊天程序分析 疯狂聊天程序采用UDP协议,端口号为电脑自身空余端口号。 UDP是传输层的协议,功能即为在IP的数据报服务之上增加了最基本的服务:复用和分用以及差错检测。 UDP提供不可靠服务,具有TCP所没有的优势:UDP无连接,UDP没有拥塞控制等。 wireshark抓包 打开wireshark,在关闭除wlan外所有网卡后,两电脑打开疯狂聊天程序,发送消息: 电脑cmd打开终端以命令ipconfig/all 查询自己电脑的ip地址 在wiresha
【实战学习】电子数据取证专题——网络数据分析溯源(上)
weixin_34055787的博客
03-04 602
电子数据取证专题-网络数据分析溯源 新题来了!!!网络取证网络***事件、网络犯罪活动进行证据获取、保存、分析和还原,它能够真实、连续地获取网络上发生的各种行为;能够完整地保存获取到的数据,并且防篡改;对保存的原始证据进行网络行为还原,重现***现场。网络数据分析溯源(爆破扫描的IP地址)背景介绍某公司安全工程师抓取到一段Wireshark数据包,其中一IP对目标服务器做爆...
下载各种网络包的示例(wireshark)
云淡风轻
04-20 7422
概要 想看下某个协议的包,但是又不想自己抓,想起wireshark网站有示例包的下载,找半天才找见,记下来方便以后使用 下载地址 https://wiki.wireshark.org/SampleCaptures/ ...
墨者学院 windows硬盘文件分析取证(新建的用户名) 犯罪嫌疑人在使用过电脑之后并
12-15
墨者学院的Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机进行分析取证时,我们首先需要新建一个用户名。新建用户名的目的是为了保护我们操作的隐私和安全,以免意外地影响现有的用户设置或对系统产生不可逆的影响。这个新建的用户名仅用于分析取证过程。 一旦新建了用户名,我们可以开始进行分析取证工作。首先,我们会使用专业的取证软件对硬盘进行扫描,以找到潜在的关键文件和目录。通过恢复已删除的文件和检测隐藏的文件,我们可以获取更全面的信息。 接着,我们会对文件进行深入的分析。通过文件的创建时间、修改时间、访问记录等元数据信息,我们可以了解文件的活动轨迹。此外,我们还会查找关键词、犯罪工具、恶意软件等可能存在的证据。 在整个过程中,需要确保对取证工作的记录和操作都能被完整地保存下来,以确保后续的法律程序和证据呈现的可靠性。 综上所述,墨者学院的Windows硬盘文件分析取证可以帮助调查人员揭示犯罪嫌疑人的行为痕迹和相关证据,而新建的用户名则是为了保护我们操作的隐私和安全。通过有效的电脑取证工作,我们能够为正义的伸张提供有力的证据支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值