有关流量分析和内存取证的

最新推荐文章于 2024-05-14 00:26:30 发布
最新推荐文章于 2024-05-14 00:26:30 发布
阅读量4.7k 收藏 5
点赞数 2
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao_xianyu123/article/details/122385422
版权

1.流量分析

  网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。

  CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。

二、关卡列表

1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器

2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么

6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少 7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么

8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip

10 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)

11某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少

三 分析过程

   1.黑客使用的扫描器

  1.  Nessus:Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。
  2. nmap:nmap 也是不少黑客爱用的工具 ,黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。
  3. Veracode: Veracode提供一个基于云的应用程序安全测试平台。无需购买硬件,无需安装软件,使用客户马上就可以开始测试和补救应用程序,另外Veracode提供自动化的静态和动态应用程序安全测试软件和补救服务。
  4. CAIN:在口令破解上很有一套技术;
  5. appscan:appscan是IBM公司开发的用于扫描web应用的基础架构,也是安全渗透行业扛把子的产品;
  6. Nikto:Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描;
  7. parosproxy:parosproxy,这是一个对Web应用程序的漏洞进行评估的代理程序;
  8. WebScarab:WebScarab记录它检测到的会话内容,使用者可以通过多种形式来查看记录;
  9. Webinspect:惠普公司的安全渗透产品,运行起来占用大量内存,小家碧玉的就慎用了;
  10. Whisker:Whisker是一款基于libwhisker的扫描器,但是现在大家都趋向于使用Nikto,它也是基于libwhisker的。
  11. BurpSuite:是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式;
  12. Wikto:Wikto是一款基于C#编写的Web漏洞扫描工具;
  13. Acunetix Web Vulnerability Scanner:(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞;
  14. N-Stealth:N-Stealth 是一款商业级的Web服务器安全扫描程序。

1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器

   先搜索http根据源ip进行排序

 我们可以发现黑客使用的是Acunetix Web Vulnerability Scanner

2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

因为后台是post方式请求的,我们可以根据wireshark筛选

根据第一题可以发现黑客使用ip是192.168

最低0.47元/天 解锁文章
我唾弃你的时光
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ctf之流量分析
xixixi
08-25 3万+
例题记录 用wireshark打开流量包 找到三次握手之后的http包 User-Agent里面有多个浏览器的名字,并且存在AppleWebkit,所以该攻击者利用了awvs扫描 awvs数据包判断标准:User-Agent里面有多个浏览器且存在AppleWebkit ...
流量分析练习2
qq_45766280的博客
08-27 584
流量分析2题解 题目:1.pcap 题解 这个文件不小,初步推断这次的会话会有文件传输里面应该会有文件,扔进binwalk里试了一下,没有什么东西。只能老老实实的做流量分析了。 wireshark中一个功能——统计,可以对包的大小、协议进行归类并统计。 统计->conversation,并对内容大小进行排序 可以看到有两个比较大的包,选择一个包并点击下面的Follow Stream...追踪流。第一个包里面没有什么实用的信息,让我们来看看第二个包 这个包里面有几个比较重要的信息,第一个就是这个包
DIDCTF-流量分析
最新发布
CLAY0011的博客
05-14 354
wireshark0某日接到客户应急需求,客户连接工业控制系统的核心网络设备遭到入侵,初步推测可能是网络设备的远程登录密码被破解,通过对给出的流量分析得到黑客登录网络设备后窃取的机密数据key1。flag为8位长度字符串下列抓包⽂件中包含了⽤户登录⽹站过程,找出⽤户登录⽹站的明⽂密码。格式flag{密码}wireshark2从网络通信方式的层面看,后门可以被分为http/https类型、irc类型、icmp类型、dns类型等。
流量分析练习
w_g3366的博客
08-10 1124
流量分析实例 一、远控抓包分析 使用C++编写基于TCP协议通信的客户端和服务端程序。 将服务端编译好放到虚拟机,将客户端在真机上编译好。 虚拟机运行Wireshark编写捕获过滤器:tcp and port 1234开始捕获 运行虚拟机的服务端,运行真机的客户端,观察Wareshark(识别三次握手) 在客户端输入一些内容,观察Wareshark 在客户端输入quit观察Wireshark(识...
wireshark数据包分析取证web流量分析
m0_74025111的博客
11-10 688
1.使用Wireshark查看并分析虚拟机windows10桌面下的web.pcap数据包,然后根据所得信息进行确定服务器上发起这些求的源 IP 地址作为flag提交。提交格式flag{xxxxxxxxx}3.攻击者在我们的服务器上发现开放端口后,似乎试图枚举我们 Web 服务器上的目录和文件。4.在攻击者枚举 Web 服务器上的目录之后,攻击者发出了大量求,试图识别管理界面。提交格式flag{xxxxxxxxx}其实题目的意思就是去查看登录的指纹 flag{manager}
电子数据取证-流量分析(第1题)
qq_36933272的博客
09-01 689
数据包用wireshark打开 图片上传,所以应该用http.request.method =="POST"过滤,发现上传jpeg的数据包,打开 信息隐藏在flag.jpg里,在传送图片数据的末尾发现flag字符串 把{}里的值复制粘贴,得到key ...
CTF通过Wireshark对USB流量取证分析
Mark的博客
11-19 7309
流程: 1、先过滤保存flag部分 通过usb.src =="1.3.1"过滤 然后文件导出特定分组得到具体的流量包 2、进行提取Data块(有点艰难) A:在winshark中提取不带冒号的4个字节 ./tshark -r 6.pcapng -T fields -e usb.capdata > out.txt B:可以利用脚本在每两个字节中加上冒号也可以像我用excel(万年office老手)利用数据中的分列分取出四个字节然后用&加冒号连接起来,最后利用ctrl+shift+Enter+↓
藏经阁-内存取证与IaaS云平台恶意行为的安全监控.pdf
09-01
报告首先介绍了内存取证技术的定义和原理,然后讨论了内存取证技术在恶意代码分析中的应用,包括恶意代码检测、进程分析、动态链接库签名分析、隐藏进程分析、动态链接库注入分析和APT恶码检测等。最后,报告还讨论...
CTF取证类题目指南
01-09
在CTF中,取证赛题包括了文件分析、隐写、内存镜像分析流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是...
Windows DFIR数字取证与事件响应
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全... - 对受影响的系统进行详细的取证分析,包括系统日志、内存转储、网络流量等。 - 确定攻击者的入侵途径、在系统中的活动以
CTF取证类题目指南1.pdf
03-13
在 CTF 中,取证赛题包括了文件分析、隐写、内存镜像分析流量抓包分析。 任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取 隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被...
计算机动态取证技术研究.pdf
11-26
计算机动态取证技术是针对计算机网络犯罪和入侵事件进行实时数据采集、分析和保全证据的一种技术手段。这种技术在当前网络安全环境下具有重要的应用价值,因为传统的静态取证方法往往在犯罪发生后才进行,难以捕捉到...
数字取证wireshark流量分析
tzyyyyyy的博客
10-20 2319
网络安全数字分析wireshark流量取证
溯源取证 - 流量分析 中等难度
weixin_48421613的博客
05-30 998
通过本篇文章,学习ssh协议特点、学习流量导出文件、学习简单的逆向分析、学习hashcat的简单使用、学习查壳工具等
现场取证流量分析总结
17bdw的编程备份笔记
10-20 52
一、前言 当业务系统发生安全事件时,我们除了需要对客户的主机进行排查找出入侵来源、还原入侵事故过程,还需要对网络流量持续性地跟踪监测。 虽然市面上那么多的安全监控分析设备、软件,产生了大量的安全日志。可还是要将尝试攻击、已经攻击成功的情况判断出来有针对性地进行排查、防御。 针对常见的攻击事件,结合监测工作中分析流量的方法,总结了几个网络流量分析排查思路。 本文将顺序从工作场景中遇到的协议分析,内...
ctf流量分析练习二
gclome的博客
09-06 3219
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复、WEB流量分析、USB流量分析和其他流量分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示: 解题思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
流量、日志分析】常见的web流量分析、windows日志分析
m0_63563528的博客
08-07 1096
Windows日志特指Windows操作系统中各种各样的日志文件,如应用程序日志,安全日志、系统日志。
Web安全流量分析(墨者靶场)
weixin_44431280的博客
03-14 2547
Web安全流量分析(墨者靶场) 提要:本文主要记录墨者靶场中流量分析(电子取证)的思路过程,注重学习思路过程并非问题答案。 问题说明: 分析数据包找出上传Webshell的IP地址,数据包可在下载 分析思路: 使用Wireshark打开数据包,wireshark使用可参考文章Web安全工具—WireShark使用 方法一: 1,因为题目已说明是webshell上传,同时文件上传通常使用post求方法,所以我们只需要分析http协议流量,过滤求方法为post的http流量: 过滤表达式:http.re
如何进行Web安全流量分析(二)
日拱一卒,默默努力
08-24 240
本篇文章我们简单介绍下在护网行动中需要关注的XFF及其原因,以及HTTPS流量解密和常见的Webshell管理工具简单的流量特征及加解密方法,希望大家在实战中着重关注,并且能够物尽其用。
介绍windows内存证技术和如何对windows内存取证
04-23
Windows内存取证是指通过技术手段获取Windows操作系统的内存数据,以分析和提取有价值的信息,以支持数字取证工作。其中,Windows内存证技术主要包括两个方面的内容:内存获取技术和内存分析技术。内存获取技术主要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值