任務一:攻擊日志分析
- 從靶機服務器的FTP上下載attack.pcapng資料包檔案,通過分析資料包attack.pcapng,找出黑客的IP地址,并將黑客的IP地址作為FLAG(形式:[IP地址])提交;(1分)
-
繼續查看資料包檔案attack.pacapng,分析出黑客掃描得到的靶機開放的埠,將靶機開放的埠作為FLAG(形式:[埠名1,埠名2,埠名3…,埠名n])從低到高提交;(1分)
- 繼續查看資料包檔案attack.pacapng,分析出黑客成功入侵后獲得的作業系統的版本號,將作業系統的版本號作為FLAG(形式:[作業系統版本號])提交;(1分)
-
繼續查看資料包檔案attack.pacapng,分析出黑客成功入侵后執行的第一條命令,并將執行的第一條命令作為FLAG(形式:[第一條命令])提交;(1分)
-
繼續查看資料包檔案attack.pacapng,分析出黑客成功入侵后執行的第二條命令,并將執行的第二條命令作為FLAG(形式:[第二條命令])提交;(2分)
-
繼續查看資料包檔案attack.pacapng,分析出黑客成功入侵后執行的第二條命令的回傳結果,并將執行的第二條命令回傳結果作為FLAG(形式:[第二條命令回傳結果])提交;(2分)
- 繼續查看資料包檔案attack.pacapng,分析出黑客成功入侵后執行的第三條命令的回傳結果,并將執行的第三條命令回傳結果作為FLAG(形式:[第三條命令回傳結果])提交,(2分)
決議:
第一題找黑客IP,協議http默認就是第一個資料包的第一個IP

Flag:192.168.10.106
第二題找埠,根據tcp的連接原理,當黑客是使用半開是掃描
我們使用過濾規則
ip.src == 192.168.10.106 and tcp.flags.reset == 1

Flag:21.22.23.80.139.445.3306.8080
第三題:找入侵后過獲得的作業系統的版本號
在篩選所有常規服務后,發現只有ftp是黑客成功入侵的服務
我們去過濾FTP

看到SHHw: 9Aa
我們想到就應該是vsftpd2.3.4,可以最追蹤流看一下

在追蹤流之后我們發現在輸入賬號密碼之后就沒有了資料交流
所以我們要想到tcp.port == 6200
隨便找一個包,然后我們追蹤流隨便一個包,我們看到作業系統的版本號
tcp.port == 6200

Flag:Linux localhost.localdomain 2.6.32-504.e16.i686
第四題:看入侵后執行的第一個命令

第五題:找入侵后的第二條命令

Flag:uname -a
第六題:第二條命令回傳的結果

Flag:Linux localhost.localdomain 2.6.32-504.e16.i686 #1 Web Oct 15 03:02:07 UTC 2014 i686
i686 i386 GNU/Linux
第七題:看第三條命令回傳的內容

Flag:/
如果需要環境可以聯系本人QQ:1721676697
每日一更,或者每日兩更,也可能不更
隨心~
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/301861.html
標籤:其他
下一篇:面試題:Linux常考命令
