【blueteam-ctf-challenges流量取证部分】HoneyBOT Blue Team Challenge

Q1anhuang2

已于 2023-11-26 23:01:24 修改

阅读量819

点赞数 22

分类专栏： blue team 文章标签：网络安全安全威胁分析 web安全

于 2023-11-23 12:20:21 首次发布

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.csdn.net/weixin_64836216/article/details/134574107

版权

blue team 专栏收录该内容

8 篇文章 0 订阅

订阅专栏

HoneyBOT Blue Team Challenge

这是一道流量分析结合shellcode的题，后面要用scDbg分析Shellcode，整体难度适中
这个网站的练习题目质量都挺高的，建议师傅们尝试打一打
练习地址：
blueteam-ctf-challenges
在这里插入图片描述

Q1

What is the attacker’s IP address?

98.114.205.102

可以看出来发送命令的流量是98.114.205.102 发到 192.150.11.111的，所以可以确认攻击方是：98.114.205.102
在这里插入图片描述

Q2

What is the target’s IP address?

 192.150.11.111

被控制方是192.150.11.111
在这里插入图片描述

Q3

Provide the country code for the attacker’s IP address (a.k.a geo-location).

US

放网上查一下ip，发现是“漂亮国”的的ip
在这里插入图片描述

Q4

How many TCP sessions are present in the captured traffic?

从0-4，一共五个
在这里插入图片描述

在这里插入图片描述

Q5

How long did it take to perform the attack (in seconds)?

分别看一下第一个包和最后一个包的区别
在这里插入图片描述

Q7

Provide the CVE number of the exploited vulnerability.

 CVE-2003-0533

发现有一个DsRoleUpgradeDownlevelServer，上网搜一下得到相关的漏洞信息
在这里插入图片描述

Q8

Which protocol was used to carry over the exploit?

SMB

smb攻击，前面漏洞里面有提到
在这里插入图片描述

Q9

Which protocol did the attacker use to download additional malicious files to the target system?

ftp

在这里插入图片描述从后面可以看出来，攻击者利用ftp上传的马

在这里插入图片描述

Q10

What is the name of the downloaded malware?

ssms.exe

下载了一个ssms.exe
在这里插入图片描述

Q11

The attacker’s server was listening on a specific port. Provide the port number.

open 8884
在这里插入图片描述

Q12

When was the involved malware first submitted to VirusTotal for analysis? Format: YYYY-MM-DD

2007-06-27

在这里插入图片描述

Q13

What is the key used to encode the shellcode?

0x99

看一下smb数据，可以发现有一段比较可疑的数据
在这里插入图片描述
利用winhex将可疑数据提取出来，前后都是9090，把这些删掉

在这里插入图片描述

用scDbg工具查看一下
在这里插入图片描述

通过查看资料，得到key,利用key对所有bit进行异或解密
参考网址：
https://www.cnblogs.com/dsli/p/7222807.html

Q14

What is the port number the shellcode binds to?

同上面

在这里插入图片描述

Q15

The shellcode used a specific technique to determine its location in memory. What is the OS file being queried during this process?

Kernel32.dll

可以看到shellcode中多次使用在这里插入图片描述
函数

https://baike.baidu.com/item/GetProcAddress/1633633?fr=ge_ala

发现是这个Kernel32.dll里面的
在这里插入图片描述

后面找漏洞、分析shellcode这些还是学到了不少新的东西，欢迎各位师傅们交流，互相讨论

关注

22
点赞
踩
17

收藏

觉得还不错? 一键收藏
打赏
3
评论
【blueteam-ctf-challenges流量取证部分】HoneyBOT Blue Team Challenge

HoneyBOT Blue Team Challenge这是一道流量分析结合shellcode的题，后面要用scDbg分析Shellcode，整体难度适中
复制链接

扫一扫

专栏目录

Q1anhuang2 CSDN认证博客专家 CSDN认证企业博客

码龄3年

中国人民公安大学

14: 原创

110万+: 周排名

22万+: 总排名

1万+: 访问

: 等级

256: 积分

80: 粉丝

114: 获赞

11: 评论

110: 收藏

私信

关注

热门文章

分类专栏

blue team 8篇
流量取证 2篇
C语言 3篇

最新评论

【blueteam-ctf-challenges流量取证部分】HoneyBOT Blue Team Challenge
Q1anhuang2: 是smss.exe文件的提取吗，这个是在tcp流=4的那段流量直接原始数据保存下来就能得到
【blueteam-ctf-challenges流量取证部分】HoneyBOT Blue Team Challenge
m0_66130750: q12的md5是怎么获取的，我用wireshark找不到
【blueteam-ctf-challenges内存取证部分】RedLine Blue Team Challenge
CSDN-Ada助手: 恭喜您在blueteam-ctf-challenges内存取证部分取得了成功！您的博客内容一直都很精彩，真的让人受益匪浅。希望您能继续保持创作的热情，不断分享更多有深度、有价值的内容。或许您可以考虑多写一些关于网络安全防御策略或者实战经验分享的内容，这样能够帮助更多的读者提高安全意识。期待您的下一篇博客！
内存取证工具之volalitity的使用方法
CSDN-Ada助手: 恭喜作者发布了第13篇博客，内容涉及到内存取证工具volatility的使用方法，对读者们一定会有很大的帮助。希望作者能够继续保持对技术的热情和创作的活力，不断分享更多有价值的内容。下一步建议可以尝试深入探讨一些实际案例的应用，或者结合其他工具进行更深入的分析，以便读者们能够更好地理解和应用这些技术。期待作者的更多精彩内容！
【blueteam-ctf-challenges内存取证部分】NintendoHunt Blue Team Challenge
CSDN-Ada助手: 恭喜你写了第14篇博客！看到你的创作持续不断，我感到非常高兴。你对blueteam-ctf-challenges内存取证部分的介绍非常有深度，我从中学到了很多知识。接下来，我希望能看到你对其他蓝队挑战的分析和解决方案，这样我们能够更全面地了解这个领域。希望你能继续保持谦虚的态度，因为你的博客已经成为了我学习的重要资源。再次恭喜你，并期待你未来的创作！

大家在看

最新文章

目录

评论 3

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

打赏作者

Q1anhuang2 你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20

扫码支付：¥1

获取中

扫码支付

您的余额不足，请更换扫码支付或充值

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。