在线靶场-墨者-电子数据取证1星-网络数据分析溯源(查找下载文件的内容)

最新推荐文章于 2025-01-10 11:35:23 发布
原创 最新推荐文章于 2025-01-10 11:35:23 发布 · 567 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#墨者学院-靶场题目

本文介绍了如何在墨者学院的在线靶场进行电子数据取证,特别是针对1星网络数据分析溯源问题。通过下载并解压文件,使用Wireshark过滤HTTP协议,搜索关键字找到1.zip和key.zip。进一步导出Http内容,解压key.zip得到含有关键信息的图片,从而获取解题的六位数字前缀。

打开靶场网页,下载文件,解压后用wireshark打开。
在这里插入图片描述
根据题意我们知道某人从xxx.com网站上下载一压缩包,请找到压缩包内容。
从网站上下载走的是http协议,我们先过滤出http协议的数据来。
在这里插入图片描述
然后再使用Ctrl + F搜索zip。搜索中有一个1.zip和key.zip。看到key.zip我们便知道这个压缩包应该是题目中要查看内容的压缩包。
在这里插入图片描述
在wireshark中点击file>Export Objects>Http。把http中的内容导出。
在这里插入图片描述在这里插入图片描述
在导出文件中寻找key.zip文件。
在这里插入图片描述
打开key.zip,看到一张图片。打开图片看到一串数值(ea6a87cb9534c5169befcac7fc6ef252)。把这串数值的前六位输入靶场网页(

最低0.47元/天 解锁文章
【实战学习】电子数据取证专题——网络数据分析溯源(下)
mozhe_的博客
03-14 2451
网络数据分析溯源(新增用户的身份证号) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的身份证号。 实训目标 1、掌握“Wireshark”的基本使用方法; 2、了解数据在网络中传输的过程和协议; 靶场地址:https://www.mozhe.cn/bug/detail/146 网络数据分析溯源(发布文章...
在线靶场-墨者-电子数据取证3-网络数据分析溯源(查找邮件内容)
weixin_42079912的博客
08-09 1130
打开靶场网页,下载文件并解压。 根据题目得知有终端給gmail@qq.com发过邮件,请找到邮件内容中的电话号码。 于是我们使用Wireshark打开16.pcapng文件。因为QQ邮箱使用的协议有:电子邮件读取协议(POP3和IMAP)、简单邮件传输协议(s mtp),所以我们先过滤s mtp协议内容。再按Ctrl + F搜索gmail@qq.com。得到一条数据。(标识邮件的收件人以 RCP...
墨者 - 网络数据分析溯源(查找下载文件内容)
吃肉唐僧的博客
07-23 1191
下载文件,根据题目要求寻找解压文件 猜测是zip文件,直接字符串搜索 找到一个key.zip,想着直接看他的数据,没有出现类似传输数据的字符 后来参考了链接:https://zhuanlan.zhihu.com/p/31512066 试着追踪该包的tcp流 发现key.jpg,直接以原始数据导出来,.zip后缀 解压可获得key的图片 ...
CTF-网络数据分析溯源(查找下载文件内容)
asd158923328的博客
08-25 1769
根据题意 进入环境,下载文件,用wireshark打开 这一题一开始的思路是通过bindwalk进行分离(题目提示说是下载了zip),但是分离出来之后文件有些损坏只能从其他地方下手 通过使用wireshark导出文件的方式来进行分析导出http流量 导出后会发现有个key.zip下有张图片,将前六个值提交,get到flag ...
网络数据分析溯源(查找下载文件内容)
qq_36933272的博客
09-05 826
wireshark打开下载的包 先用http过滤,因为是压缩包,所以搜索关键字zip 把这个key.zip压缩文件导出来 解压得到图片
在线靶场-墨者-电子数据取证1-网络数据分析溯源(发布文章的IP地址)
weixin_42079912的博客
08-09 314
打开靶场网页,下载文件,解压并使用Wireshark打开。 根据题意得知有人从内网发布一篇文章到www.xwast.org上,请找出发布文章的IP。 发布一篇文章到www.xwast.org上应该是走http协议,于是我们过滤出http协议的数据,但是搜索http数据的时候发现了很多http的协议。因为数据太多,我们分析起来还是挺困难的。 发布文章的方式应该是POST请求方式。于是我们可以输入...
网络数据分析溯源(下载压缩包的IP地址)
asd158923328的博客
08-20 452
靶场地址: https://www.mozhe.cn/bug/detail/amhsZHQ2cXJXZGdlOW1iOEpLcWdDQT09bW96aGUmozhe 根据题意 进入环境,下载文件,用wireshark打开,过滤http contains DB.zip 验证获得key ...
在线靶场-墨者-电子数据取证5-网络数据分析溯源(上传WebShell的IP地址)
weixin_42079912的博客
08-09 721
打开靶场网页,下载文件并压缩 根据题意发现有人成功上传了WebShell,请找到上传者的IP地址。 使用Wireshark打开21.pcapng文件,因为是上传WebShell,所以数据走得应该是http协议,使用POST请求方式。属于在Wireshark中输入http.request.method==POST。过滤出http协议POST请求的数据出来。查看数据,找到uploads上传,一般上传...
在线靶场-墨者-电子数据取证1-Linux硬盘文件分析取证(MySQL操作记录)
weixin_42079912的博客
07-19 436
打开靶场网页,下载文件下载文件后是压缩文件,解压后发现是img镜像文件。img文件需要挂载才能读取。于是下载AccessData FTK Imager软件。下载地址:https://download.csdn.net/download/sunwen551/10839742 下载完软件后,点开软件,按照下图步骤: 找到root文件里的.mysql_history文件,在文件中查看数据库更改的...
在线靶场-墨者-电子数据取证1-远程电子数据取证-服务器分析(第5题)
weixin_42079912的博客
08-09 313
打开靶场环境,使用远程桌面连接。 方法一:进入主机后开始找寻key,最终发现key文本文件在C:WINDOWS路径下。 方法二:进入主机后,点击我的电脑>搜索>输入key进行搜索>搜索出来一个key文本文档,点开就是本题的key。 ...
网络数据分析溯源(HTTPS证书信息)
qq_36933272的博客
09-05 797
用wireshark打开数据包 因为是加密,用ssl过滤 要找公司的所属名称,所以搜索字段org 找到数据包,往下查看,公司的名称被编码成了utf8字符串 复制到任意网站搜索框里,显示是重庆xxxxx有限责任公司,输入得到key ...
在线靶场-墨者-电子数据取证4-网络数据分析溯源(数据库密码)
weixin_42079912的博客
08-09 623
打开靶场网页,下载文件并解压。 根据题目,知道发现有人操作了数据库,请找到连接数据库的密码。于是使用Wireshark打开22.pcapng文件。开始查询连接数据库的密码。 我们知道数据库常用端口号是:mysql的默认端口是3306、sqlserver默认端口号为:1433、oracle 默认端口号为:1521、DB2 默认端口号为:5000、PostgreSQL默认端口号为:5432。但是查询...
零基础小白如何入门CTF,看这一篇就够了(附学习笔记、靶场、工具包)_ctf入门_ctf小白入门
HackKong的博客
01-10 1183
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。CTF靶场CTF。
网络安全靶场推荐,让你通过实操能快速提升实战技能!
ewii12567的博客
08-15 1068
自学网络安全知识,具备一定的理论基础,缺乏实战经验,想去网络靶场体验一下,通过实操能快速提升实战技能!
取证分析实践之Autopsy
Spontaneous_0的博客
02-18 1626
取证分析实践之Autopsy
16个网络安全常用的练习靶场(小白必备)
qq_44005305的博客
01-31 3421
DVWA-WooYun是一个基于DVWA的PHP+Mysql漏洞模拟练习环境,通过将乌云主站上的有趣漏洞报告建模,以插件形式复现给使用该软件的帽子们,可以让乌云帽子们获得读报告体验不到的真实感,在实践的过程中可以无缝隙地深入理解漏洞的原理及利用方式 中英双字,如果您语文学的不好不必担心了,界面提示英文的(DVWA原厂),内容提示中英双字(后来觉得比较眼花,所以去掉了部分英文)这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。
Wireshark抓取的数据包文件提取
热门推荐
xiaopan233的博客
05-02 5万+
(第一种方法 直接使用wireshark自带的导出) 分离图片文件) wireshark在指定的数据流中提取文件很简单。先选中要提取文件的数据包。wrieshark都会标明文件的类型。所以我们也就能够区分出这是一个什么类型的文件。 选中图片的数据一大行 右键,导出数据包 给导出的文件起个名字。然后保存即可。 成功从wrieshark中分离出了图片 分离...
wireshark抓取网络数据包
qq_46359931的博客
11-20 1802
目录疯狂聊天程序分析wireshark抓包参考 疯狂聊天程序分析 疯狂聊天程序采用UDP协议,端口号为电脑自身空余端口号。 UDP是传输层的协议,功能即为在IP的数据报服务之上增加了最基本的服务:复用和分用以及差错检测。 UDP提供不可靠服务,具有TCP所没有的优势:UDP无连接,UDP没有拥塞控制等。 wireshark抓包 打开wireshark,在关闭除wlan外所有网卡后,两电脑打开疯狂聊天程序,发送消息: 电脑cmd打开终端以命令ipconfig/all 查询自己电脑的ip地址 在wiresha
墨者学院WebShell文件上传漏洞分析溯源(1)
最新发布
04-03
### 墨者学院 WebShell 文件上传漏洞分析与溯源方法 #### 背景概述 WebShell 是一种嵌入到目标服务器中的脚本程序,攻击者可以通过它远程控制受害者的服务器。文件上传漏洞通常允许攻击者通过伪造请求或其他手段绕过安全机制,在服务器上放置恶意脚本。 在墨者学院的相关题目中提到的内容涉及多个方面,包括 MIME 类型篡改、禁用 JavaScript 绕过前端验证以及利用后缀名规避检测等技术[^1]。 --- #### 漏洞成因分析 文件上传漏洞的主要原因在于服务端对上传文件的安全校验不足。具体表现为以下几个方面: 1. **MIME 类型校验不严格** 攻击者可以使用工具(如 Burp Suite)抓取 HTTP 请求并修改其 MIME 类型字段,从而绕过基于内容类型的限制。例如,将 `.txt` 文件伪装为 `image/jpeg` 格式的图片文件。 2. **依赖客户端验证** 如果仅依靠浏览器端的 JavaScript 验证来阻止非法文件类型,则容易被禁用或绕过。一旦禁用了 JavaScript 功能,就可以轻松提交不符合预期规则的文件[^2]。 3. **扩展名校验缺陷** 当某些应用只检查文件名而未深入解析实际内容时,可能会接受带有特殊后缀名(比如 `.php5`, `.pht` 等变种 PHP 扩展)的文件作为合法输入[^3]。这使得即使表面上看似正常的文件也可能隐藏潜在威胁。 --- #### 解决方案建议 为了有效防范此类问题的发生,可以从以下几方面着手改进防护措施: - 加强服务端逻辑设计, 不应单纯信任来自用户的任何数据; - 对于上传过程实施多重过滤策略, 如限定白名单内的 mime-type 和尺寸范围之外还需确认最终存储形式确实无害; - 定期审查现有代码库寻找可能存在的安全隐患点,并及时修补已知漏洞; 以下是实现上述部分功能的一个 Python 示例演示如何初步判断一个给定字符串是否可能是危险命令执行语句的一部分: ```python import re def is_potentially_dangerous(input_string): pattern = r'(?:exec|passthru|shell_exec|system|proc_open|popen)' match_result = re.search(pattern, input_string.lower()) return bool(match_result) test_strings = ["<?php echo 'hello'; ?>", "<?php system('ls'); ?>"] for s in test_strings: print(f"'{s}' -> {is_potentially_dangerous(s)}") ``` 此函数会返回 True 或 False 表明传入参数是否存在可疑的关键字组合。 --- #### 总结 通过对墨者学院案例的学习可以看出,针对 web shell 的防御工作需要综合考虑多层面的因素,从前端界面交互直至后台数据库操作均需保持高度警惕以防万一环节疏漏造成严重后果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值