墨者学院 电子数据取证

电子数据取证-流量分析(第1题)

网络数据分析溯源(攻击者IP)

查看z1的内容，可以知道z5是执行sql的命令

网络数据分析溯源(上传WebShell的IP地址)

找上传webshell的ip，主要是筛选http post流量

Xls文件分析溯源

网络数据分析溯源(SQL注入的IP地址)

直接筛选http流量查找select之类的sql命令

网络数据分析溯源(ARP嗅探的IP地址)

筛选arp流量，arp扫描其实很好找，看who ？？ tell 谁最多，他就说扫描者

最多的就是104，其次是106，104就是扫描者了

日志文件分析溯源(SQL注入IP地址)

筛选出日志中包含sql语句的条目

cat 4.log | grep -i 'select'

网络数据分析溯源(查找邮件地址)

网络数据分析溯源(数据库密码)

跟上题一样的附件

把z0的base64解码

可以知道z3岁$pwd大概率就是数据库密码

远程电子数据取证-木马分析(第1题)

terminal 下载 rdesktop,然后登录即可

windows权限维持—— 驱动级文件隐藏

这个xlkfs的软件开启的时候，会隐藏掉文件夹

sc qc xlkfs 查询一下这个服务，可以看到真的存在

把这个服务关掉，就可以访问这个目录了

net stop xlkfs

远程电子数据取证-木马分析(第2题)

系统保留字 ： http://t.zoukankan.com/hellovan-p-11090560.html

如果文件使用了系统保留字 windows会自动无法对这个文件进行访问、修改、删除等操作

在C:\Inetpub\wwwroot下可以，直接看到这个asp文件，但是他使用了系统
保留字，我们无法直接查看他的内容

绕过办法：利用type命令访问网络系统路径

type \\.\C:\Inetpub\wwwroot\COM6.key_shell.asp

日志文件分析溯源(下载压缩包的IP地址)

日志文件分析溯源(连接WebShell的IP地址)

网络数据分析溯源-查找QQ号

远程电子数据取证-木马分析(第3题)

题目地址 ： https://www.mozhe.cn/bug/detail/RHdoNU8zOUEreHdHeUhObGFPT0RGUT09bW96aGUmozhe

win7畸形文件夹
畸形文件夹是window系统中通过非正常途径建立的文件夹，具有难以查看，删除等特点。

网络数据分析溯源(登录的用户名)

题目地址 : https://www.mozhe.cn/bug/detail/RzVtY3JOOEtYaU5RMUxGZ1hVSWRXUT09bW96aGUmozhe

首先删选出http 的流量，看到有人一直在爆破弱密码

筛选出ip.src为爆破使用源地址，且登陆状态为200

远程电子数据取证-服务器分析(第2题)

题目地址 : https://www.mozhe.cn/bug/detail/V3lpVHBBK3l6cHdIOWVhSllWQ1MrZz09bW96aGUmozhe

查看windows系统事件

筛选出administrator用户操作的事件

远程电子数据取证-服务器分析(第1题)

题目地址 : https://www.mozhe.cn/bug/detail/U1prK3FzNjAydzF1bUpxKzVrUWsvQT09bW96aGUmozhe

取消隐藏文件和文件夹

RECYCLER它翻译成英文的意思是回收再利用的意思。它是windows操作系统中存放被删除文件的文件夹之一。也就是这个文件夹是回收站的文件夹。在windows系统中，都会帮用户自动创建回收站文件夹，当分区文件系统时NTFS的时候，就会将文件保存在RECYCLER文件夹里面。
那么RECYCLER文件夹可以删除吗？
这个文件夹是受系统保护的隐藏文件夹，所有不能删除该文件夹，如果用户删除了该文件夹之后，系统还是会重新帮你创建一个新的RECYCLER文件夹了。

Rar文件分析溯源

题目地址 ： https://www.mozhe.cn/bug/detail/WXFPT3JLVE52dUpSMGxTMnlBV3pMUT09bW96aGUmozhe

首先下载来时zip文件，直接解压得到一个又密码的rar压缩包
然后尝试了一系列工具，总是不行，看了wp后，发现时一样的方法

压缩包密码是z4s2

网络数据分析溯源(ping服务器的IP地址)

题目地址 : https://www.mozhe.cn/bug/detail/WG9URHk1blRGdmVkaWpjU21KMEFXUT09bW96aGUmozhe

某公司安全工程师抓取到一段Wireshark数据包，其中有一个IP不间断的在ping服务器，,请找到这个ip地址。

ping 是基于 ICMP 协议工作的 筛选出icmp协议发现只有两个ip 最先发送的ip就是src地址

网络数据分析溯源(HTTPS证书信息)

题目地址 : https://www.mozhe.cn/bug/detail/MFpHTzI3RlJEcGhNZ2s3Z1lUNXlYdz09bW96aGUmozhe

近日工程师捕获到一段流量，发现有人伪造了x.com的证书，请找到这个证书的所属公司名称。

HTTPS协议==HTTP协议+SSL/TLS协议，在HTTPS数据传输的过程中，需要用SSL/TLS对数据进行加密和解密，需要用HTTP对加密后的数据进行传输，由此可见，HTTPS协议是由HTTP和SSL/TLS协议一起合作完成的。至于二者之间的区别，HTTP协议有点类似于“裸奔”，他们数据传输是通过明文的形式做传输，即使约定了加密方式，但是第一次传输的时候还是明文；鉴于此，HTTPS使用的是非对称加密，为秘钥的传输外层再做一层保护，非对称加密的一组秘钥对中，包含一个公钥和一个私钥。明文既可以用公钥加密，用私钥解密；也可以用私钥加密，用公钥解密。

日志文件分析溯源(境外IP)

题目地址 : https://www.mozhe.cn/bug/detail/SmFjVnp4ZlVtS0hwbUx1THlNemxLUT09bW96aGUmozhe

题目描述 : 某网站遭到境外ip攻击，请通过log，找到找到访问news.html最多的境外IP地址。

筛选出访问news.html的流量，大致扫一眼就137.112.214.191和163.125.211.156比较多，经过尝试答案是137.112.214.191

网络数据分析溯源(3389登录的IP地址)

题目地址 : https://www.mozhe.cn/bug/detail/N2drOWk2LysyQ3hPMjRPeWpXYmhzZz09bW96aGUmozhe

题目描述 :
安全工程师“墨者”在维护日常网络时，抓取了一段Wireshark数据流量包，发现有3389登录的数据，你也来试试找到这个IP地址吧。

筛选出目的地址端口为3389的流量，发现只有一个源ip地址

远程电子数据取证-木马分析(第4题)

题目地址 : https://www.mozhe.cn/bug/detail/YmY2Ukw4czkwWi8wZkk5Nmx4bC9FUT09bW96aGUmozhe

题目描述 : 某黑客黑入了某网站服务器，上传并隐藏了webshell，且该webshell具有不死僵尸木马后门的特点。
此后黑客通过URL访问了该webshell，且IIS日志也记录了该webshell的访问信息。

跟第二题同理，取消隐藏文件，用type + 网络路径访问

网络数据分析溯源(邮箱密码)

题目地址 ： https://www.mozhe.cn/bug/detail/ai9EeVkwcVlYVUR3ZHFFcFl4bmUrZz09bW96aGUmozhe

题目描述 : 近日工程师捕获到一段流量，发现某人从内网登录了邮箱xxx@126.com，请你帮工程师找到这个邮箱的登录密码。

筛选http协议搜索@126.com,发现竟然没有

想到可能不是http协议登录的猜测是用来邮件协议，搜索imap就可以找到

网络数据分析溯源(发布文章的IP地址)

题目地址 : https://www.mozhe.cn/bug/detail/WXI4Q3A1aDBMNDVXUG50WUpURkI1QT09bW96aGUmozhe

题目描述 : 近日工程师捕获到一段流量，发现有人从内网发布一篇文章到www.xwast.org上，请找出发布文章的IP。

根据题目搜索http流量筛选www.xwast.org, 但是流量太多了，我们搜索post数据

网络数据分析溯源(新增用户的身份证号)

题目地址 : https://www.mozhe.cn/bug/detail/clVzVjc3NlJUVnY2Vm1OVy8reVJIQT09bW96aGUmozhe

筛选http流量

http.request.method=="POST" && http contains "php"

经过几次尝试，找到插入的身份证号

网络数据分析溯源(连接login.php的IP)

题目地址 : https://www.mozhe.cn/bug/detail/ajZTTjFuNG9mUHpqcGhBU0VYUTNaQT09bW96aGUmozhe

网络数据分析溯源(下载压缩包的IP地址)

题目地址 : https://www.mozhe.cn/bug/detail/amhsZHQ2cXJXZGdlOW1iOEpLcWdDQT09bW96aGUmozhe