流量分析-PhishingEmail_WriteUp

原创 已于 2023-11-28 23:17:41 修改 · 862 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wireshark #流量分析 #CTF

于 2023-11-24 13:41:27 首次发布
黑客利用电子邮件发送钓鱼链接,诱导用户下载恶意补丁程序。追踪显示,guanyu和liubei的账户可能被感染,攻击者IP为192.168.57.140,监听6666端口。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、题目问题

问题1:黑客的email名称

问题2:黑客向几人发送了钓鱼邮件

问题3:黑客传输的木马文件名

问题4:下载并运行了木马文件的人的email名称和ip地址,用“-”连接

问题5:黑客用于反弹shell的主机ip地址和监听端口,用“-”连接

问题6:黑客执行的命令

以上问题答案在分析中显示为绿色。

二、解题思路

黑客在源地址192.168.57.130上向192.168.57.143的个人发送了一条邮件

追踪第1条tcp流量可以看到,邮件当前登录的用户是:_admin_

追踪第2条tcp流量可以看到,从原地址192.168.57.140已经发起登录申请,登录的用户为:guanyu@192.168.57.143

用户guanyu打开了相关邮件,跟进邮件提示,需要下载一个补丁程序:repair.exe

追踪第3条tcp流量可以看到用户zhangfei在192.168.57.139上打开了相关邮件

追踪第4条tcp流量可以看到用户liubei在192.168.57.137打开了相关邮件

第5条流量时已经有被控的指令被执行了,这里执行的是whoami命令

在该部分信息中存在着攻击者的IP、监听端口及受害者的相关信息,这里看到受害者的IP地址为192.168.57.140,攻击者的IP为192.168.57.140,且监听了6666端口,所以可以确定,是账户guanyu下载并运行了病毒程序

三、题目附件

https://pan.baidu.com/s/13xNWmm4PeU02A6yonTgJuA?pwd=vale 提取码: vale

流量分析ctf
m0_53067332的博客
01-10 8874
题目介绍 该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
crypto-baby_writeup(buuctf)
耐酸碱高温固化材料近距离传输研究
12-27 533
大概审计了一下enc函数,能看出来是将用户输入字符串每4个字节进行处理,生成3个字节,那么用户输入16个字节最后会加密成12个字节,与data区601100的数据进行比对,比对成功后即输出flag。将原来的比对逻辑改了一下,原来是加密后字节与601100部分比对,比对不成功则退出,改成比对成功则退出,那么现在就可以构造特殊的payload来枚举flag了。elf打补丁教程可以参考。题目提供了一个elf可执行文件,叫做baby_wp。逆向加解密,记录一下。
流量分析题目总结
helloKittywz的博客
06-01 613
看提示发现是要找到密码,密码也就是post请求,我还是用上面的那个发现没有过滤到有用的线索,然后在只要http的包,然后在看看成功了的数据包。,然后看它的提示发现是文件进行传输的,然后就开始思考,我先开始用过滤器ftp发现是没有的,然后在思考一下,传输文件上传是。,然后它是一张图片,我们要把它转成图片,然后在看到我们想要的flag。今天做了简单的流量分析的题,现在在进行总结一下我的做题思路。我用的下面的那个来进行解码,然后在进行解码用下面的解码网站。然后我们在进行追踪流操作,然后在里面查找我们想要的。
网络安全必看流量分析经典解析----10道CTF题我是怎么完成的
最新发布
wholeliubei的博客
07-09 853
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪。
流量分析 —— WriteUp
weixin_54517170的博客
08-29 1879
流量分析WriteUp(含环境)
CTF流量分析经典例题详解
qq_68163788的博客
01-03 9143
CTF(Capture The Flag)流量分析是网络安全竞赛中的重要环节,通过分析网络数据包来解决问题。经典例题包括网络流量分析、协议分析、恶意代码分析等。举例来说,一道经典的CTF流量分析题目可能是给定一个pcap文件,要求分析其中的数据包,找出隐藏的信息或者发现异常行为。参赛者需要使用网络分析工具如Wireshark或tcpdump来分析数据包,识别各种协议如HTTP、FTP、DNS等,并根据特定的任务要求提取关键信息。另外,恶意代码分析也是CTF中常见的题型,参赛者需要分析给定的恶意代码样本
2021年“绿城杯”网络安全大赛-Misc-流量分析
qq_43264813的博客
09-30 9398
2021年“绿城杯”网络安全大赛-Misc-流量分析 题目名称:流量分析 题目内容:一道复杂的流量分析 题目分值:200.0 题目难度:中等 相关附件:流量分析的附件.zip 解题思路: 1.流量过一遍。发现.config.php 是 webshell。找攻击者如何写入 webshell。发现存在一些可疑的 POST 流量,UA 头是 python requests。通过返回包发现程序报错。使用 Laravel。 发现流量中可疑的字符串。 2.网上查找资料发现是 CVE-2021-3129 漏洞攻击特征。
---vulhub_Writeup:vulhub靶场个人writeup,转载引用请注明地址,坑点补充联系作者。
03-03
vulhub_Writeup 主要写一些个人在打vulhub靶场中自己遇到的问题和处理方法。作为分享与个人查询所用。 笔者从2020年11月开始自学网安,水平有限,如有问题,恳请指正。 电子邮件:
Coursera-Prediction_Assignment_Writeup-1
02-24
Prediction_Assignment_Writeup 同行评分作业:预测作业撰写 ##指示 人们经常做的一件事是量化他们从事某项特定活动的数量,但是他们很少量化他们做某件事的程度。 在此项目中,您的目标是使用来自6位参与者的...
空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透1
08-03
《空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透》这篇文章讲述了在Windows环境下针对Discuz! 3.4版本进行渗透测试的过程。本文将深入解析其中涉及的关键知识点,包括authkey的作用、Windows短文件名的安全...
0ctf2018-babystack_writeup
CabbageWind的博客
08-17 1057
题目:0ctf2018-babystack 检查保护机制: 可以看到程序只提供了NX保护。 在IDA中进行反编译,发现一个可读的位置,存在栈溢出漏洞,可能可以利用: 使用peda计算read位置的偏移: 得到read位置距离返回地址的偏移为44,比read的长度0x40小,说明栈溢出漏洞可直接被利用。 查看文件ELF表 通过elf表中查看得知程序中不存在system函数,无法直接跳转;也不存在输出函数,无法打印got表地址。 查看vmmap 通过vmmap可以看到bss段可
任务二:Wireshark数据包分析
m0_45155797的博客
04-14 936
任务二:Wireshark数据包分析 任务环境说明: ● 服务器场景:FTPServer220223 ● 服务器场景操作系统:未知(关闭连接) ● FTP用户名:wireshark0051密码:wireshark0051 1. 从靶机服务器的FTP上下载wireshark0051.pcap数据包文件,找出黑客获取到的可成功登录目标服务器FTP的账号密码,并将黑客获取到的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交; 2. 继续分析数据包wireshark0051.p
misc流量分析
m0_74080781的博客
09-08 2126
首先打开流量包;分别看一下不同协议的info;看看有没有什么特别奇怪或者很长的解释;一般flag就在里面(有可能是base64编码的;注意二次编码);然后就是利用过滤语法看看有没有什么明显的流量包;进一步分析;看看有没有什么压缩包,图片,文件等等的;提取出来看看是否有flag等信息;还有注意几种特别的流量包;
【亲测免费】 PhishMailer:快速生成专业钓鱼邮件的开源工具
gitblog_01268的博客
10-18 952
PhishMailer:快速生成专业钓鱼邮件的开源工具 项目基础介绍 PhishMailer 是一个由 Python 编写的专业钓鱼邮件生成器,旨在帮助用户迅速且容易地创建具有高度仿真的钓鱼电子邮件。这个开源项目由 BiZken 开发,并得到了社区的一定关注,目前在 GitHub 上已有超过一千颗星和接近两百个fork。 核心功能 PhishMailer 提供了以下核心功能点: 多模板钓鱼邮件生...
2024 高校网络安全管理运维赛 -实践能力赛项Writeup(misc-1部分解析)
weixin_39435784的博客
05-09 1780
你是 Foobar 大学的安全分析师。一位名叫张三的员工报告了一封可疑的邮件,并将其提供给你进行分析。你的任务是仔细检查这封邮件,识别潜在的钓鱼指标,找出表明这是一次钓鱼尝试的线索。可疑邮件以 EML 文件的形式提供,请查看附件,你可以。
ctf】whireshark流量分析之ping篇
一大口木的博客
12-16 1913
ctf流量分析之ping篇
Kali渗透(一)----信息收集之域名(WHOIS)
热门推荐
fendo
04-05 2万+
一、信息收集分类 信息收集的方法可归为两类: 1.主动式收集:主动式收集是通过直接发起与被测目标网络之间的互动来获取相关信息,例如,ICMP ping或者TCP端口扫描。 2.被动式收集:被动式收集则是通过第三方服务来获取目标网络的相关信息,例如使用谷歌搜索引擎等。 二、域名信息收集  whios是个标准的互联网协议,可用于收集网络注册,注册域名,IP地址
[BUUCTF]大流量分析 writeup
ShenZ的博客
09-05 1440
重要的话写前面,不要靠近这个题,会变得不幸 没什么逻辑,感觉是大流量 恶心人的…也可能是我没看懂哦 [BUUCTF]大流量分析 某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包 1.黑客的攻击ip是多少? 2.黑客使用了哪个邮箱给员工发送了钓鱼邮件? 3.那黑客预留的后门的文件名是什么? 统计出现频率比较高的IP,这里不知道D和H的区别所以两个都看看 172.16.61.200 183.129.152.140 黑客IP 172.16.103.1 172.16.61.199 1.攻击IP 分
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值