文章目录
- 电子数据取证-流量分析(第1题)
- 网络数据分析溯源(攻击者IP)
- 网络数据分析溯源(上传WebShell的IP地址)
- Xls文件分析溯源
- 网络数据分析溯源(SQL注入的IP地址)
- 网络数据分析溯源(ARP嗅探的IP地址)
- 日志文件分析溯源(SQL注入IP地址)
- 网络数据分析溯源(查找邮件地址)
- 网络数据分析溯源(数据库密码)
- 远程电子数据取证-木马分析(第1题)
- 远程电子数据取证-木马分析(第2题)
- 日志文件分析溯源(下载压缩包的IP地址)
- 日志文件分析溯源(连接WebShell的IP地址)
- 网络数据分析溯源-查找QQ号
- 远程电子数据取证-木马分析(第3题)
- 网络数据分析溯源(登录的用户名)
- 远程电子数据取证-服务器分析(第2题)
- 远程电子数据取证-服务器分析(第1题)
- Rar文件分析溯源
- 网络数据分析溯源(ping服务器的IP地址)
- 网络数据分析溯源(HTTPS证书信息)
- 日志文件分析溯源(境外IP)
- 网络数据分析溯源(3389登录的IP地址)
- 远程电子数据取证-木马分析(第4题)
- 网络数据分析溯源(邮箱密码)
- 网络数据分析溯源(发布文章的IP地址)
- 网络数据分析溯源(新增用户的身份证号)
- 网络数据分析溯源(连接login.php的IP)
- 网络数据分析溯源(下载压缩包的IP地址)
电子数据取证-流量分析(第1题)
网络数据分析溯源(攻击者IP)
查看z1的内容,可以知道z5是执行sql的命令
网络数据分析溯源(上传WebShell的IP地址)
找上传webshell的ip,主要是筛选http post流量
Xls文件分析溯源
网络数据分析溯源(SQL注入的IP地址)
直接筛选http流量查找select之类的sql命令
网络数据分析溯源(ARP嗅探的IP地址)
筛选arp流量,arp扫描其实很好找,看who ?? tell 谁最多,他就说扫描者
最多的就是104,其次是106,104就是扫描者了
日志文件分析溯源(SQL注入IP地址)
筛选出日志中包含sql语句的条目
cat 4.log | grep -i 'select'
网络数据分析溯源(查找邮件地址)
网络数据分析溯源(数据库密码)
跟上题一样的附件
把z0的base64解码
可以知道z3岁$pwd大概率就是数据库密码
远程电子数据取证-木马分析(第1题)
terminal 下载
rdesktop
,然后登录即可
这个xlkfs的软件开启的时候,会隐藏掉文件夹
sc qc xlkfs
查询一下这个服务,可以看到真的存在
把这个服务关掉,就可以访问这个目录了
net stop xlkfs
远程电子数据取证-木马分析(第2题)
系统保留字 : http://t.zoukankan.com/hellovan-p-11090560.html
如果文件使用了系统保留字 windows会自动无法对这个文件进行访问、修改、删除等操作
在C:\Inetpub\wwwroot下可以,直接看到这个asp文件,但是他使用了系统
保留字,我们无法直接查看他的内容
绕过办法:利用type命令访问网络系统路径
type \\.\C:\Inetpub\wwwroot\COM6.key_shell.asp
日志文件分析溯源(下载压缩包的IP地址)
日志文件分析溯源(连接WebShell的IP地址)
网络数据分析溯源-查找QQ号
远程电子数据取证-木马分析(第3题)
题目地址 : https://www.mozhe.cn/bug/detail/RHdoNU8zOUEreHdHeUhObGFPT0RGUT09bW96aGUmozhe
win7畸形文件夹
畸形文件夹是window系统中通过非正常途径建立的文件夹,具有难以查看,删除等特点。
网络数据分析溯源(登录的用户名)
题目地址 : https://www.mozhe.cn/bug/detail/RzVtY3JOOEtYaU5RMUxGZ1hVSWRXUT09bW96aGUmozhe
首先删选出http 的流量,看到有人一直在爆破弱密码
筛选出ip.src为爆破使用源地址,且登陆状态为200
远程电子数据取证-服务器分析(第2题)
题目地址 : https://www.mozhe.cn/bug/detail/V3lpVHBBK3l6cHdIOWVhSllWQ1MrZz09bW96aGUmozhe
查看windows系统事件
筛选出administrator用户操作的事件
远程电子数据取证-服务器分析(第1题)
题目地址 : https://www.mozhe.cn/bug/detail/U1prK3FzNjAydzF1bUpxKzVrUWsvQT09bW96aGUmozhe
取消隐藏文件和文件夹
RECYCLER
它翻译成英文的意思是回收再利用的意思。它是windows操作系统中存放被删除文件的文件夹之一。也就是这个文件夹是回收站的文件夹。在windows系统中,都会帮用户自动创建回收站文件夹,当分区文件系统时NTFS的时候,就会将文件保存在RECYCLER文件夹里面。
那么RECYCLER文件夹可以删除吗?
这个文件夹是受系统保护的隐藏文件夹,所有不能删除该文件夹,如果用户删除了该文件夹之后,系统还是会重新帮你创建一个新的RECYCLER文件夹了。
Rar文件分析溯源
题目地址 : https://www.mozhe.cn/bug/detail/WXFPT3JLVE52dUpSMGxTMnlBV3pMUT09bW96aGUmozhe
首先下载来时zip文件,直接解压得到一个又密码的rar压缩包
然后尝试了一系列工具,总是不行,看了wp后,发现时一样的方法
压缩包密码是z4s2
网络数据分析溯源(ping服务器的IP地址)
题目地址 : https://www.mozhe.cn/bug/detail/WG9URHk1blRGdmVkaWpjU21KMEFXUT09bW96aGUmozhe
某公司安全工程师抓取到一段Wireshark数据包,其中有一个IP不间断的在ping服务器,,请找到这个ip地址。
ping 是基于 ICMP 协议工作的 筛选出icmp协议发现只有两个ip 最先发送的ip就是src地址
网络数据分析溯源(HTTPS证书信息)
题目地址 : https://www.mozhe.cn/bug/detail/MFpHTzI3RlJEcGhNZ2s3Z1lUNXlYdz09bW96aGUmozhe
近日工程师捕获到一段流量,发现有人伪造了x.com的证书,请找到这个证书的所属公司名称。
HTTPS
协议==HTTP协议+SSL/TLS
协议,在HTTPS数据传输的过程中,需要用SSL/TLS对数据进行加密和解密,需要用HTTP对加密后的数据进行传输,由此可见,HTTPS协议是由HTTP和SSL/TLS协议一起合作完成的。至于二者之间的区别,HTTP协议有点类似于“裸奔”,他们数据传输是通过明文的形式做传输,即使约定了加密方式,但是第一次传输的时候还是明文;鉴于此,HTTPS使用的是非对称加密,为秘钥的传输外层再做一层保护,非对称加密的一组秘钥对中,包含一个公钥和一个私钥。明文既可以用公钥加密,用私钥解密;也可以用私钥加密,用公钥解密。
日志文件分析溯源(境外IP)
题目地址 : https://www.mozhe.cn/bug/detail/SmFjVnp4ZlVtS0hwbUx1THlNemxLUT09bW96aGUmozhe
题目描述 : 某网站遭到境外ip攻击,请通过log,找到找到访问news.html最多的境外IP地址。
筛选出访问
news.html
的流量,大致扫一眼就137.112.214.191和163.125.211.156比较多,经过尝试答案是137.112.214.191
网络数据分析溯源(3389登录的IP地址)
题目地址 : https://www.mozhe.cn/bug/detail/N2drOWk2LysyQ3hPMjRPeWpXYmhzZz09bW96aGUmozhe
题目描述 :
安全工程师“墨者”在维护日常网络时,抓取了一段Wireshark数据流量包,发现有3389登录的数据,你也来试试找到这个IP地址吧。
筛选出
目的地址端口
为3389的流量,发现只有一个源ip地址
远程电子数据取证-木马分析(第4题)
题目地址 : https://www.mozhe.cn/bug/detail/YmY2Ukw4czkwWi8wZkk5Nmx4bC9FUT09bW96aGUmozhe
题目描述 : 某黑客黑入了某网站服务器,上传并隐藏了webshell,且该webshell具有不死僵尸木马后门的特点。
此后黑客通过URL访问了该webshell,且IIS日志也记录了该webshell的访问信息。
跟第二题同理,取消隐藏文件,用type + 网络路径访问
网络数据分析溯源(邮箱密码)
题目地址 : https://www.mozhe.cn/bug/detail/ai9EeVkwcVlYVUR3ZHFFcFl4bmUrZz09bW96aGUmozhe
题目描述 : 近日工程师捕获到一段流量,发现某人从内网登录了邮箱xxx@126.com,请你帮工程师找到这个邮箱的登录密码。
筛选http协议搜索@126.com,发现竟然没有
想到可能不是http协议登录的猜测是用来邮件协议,搜索imap就可以找到
网络数据分析溯源(发布文章的IP地址)
题目地址 : https://www.mozhe.cn/bug/detail/WXI4Q3A1aDBMNDVXUG50WUpURkI1QT09bW96aGUmozhe
题目描述 : 近日工程师捕获到一段流量,发现有人从内网发布一篇文章到www.xwast.org上,请找出发布文章的IP。
根据题目搜索http流量筛选www.xwast.org, 但是流量太多了,我们搜索post数据
网络数据分析溯源(新增用户的身份证号)
题目地址 : https://www.mozhe.cn/bug/detail/clVzVjc3NlJUVnY2Vm1OVy8reVJIQT09bW96aGUmozhe
筛选http流量
http.request.method=="POST" && http contains "php"
经过几次尝试,找到插入的身份证号
网络数据分析溯源(连接login.php的IP)
题目地址 : https://www.mozhe.cn/bug/detail/ajZTTjFuNG9mUHpqcGhBU0VYUTNaQT09bW96aGUmozhe
网络数据分析溯源(下载压缩包的IP地址)
题目地址 : https://www.mozhe.cn/bug/detail/amhsZHQ2cXJXZGdlOW1iOEpLcWdDQT09bW96aGUmozhe