avatar

2018年山东赛题.数据分析与取证 解题思路和答案

数据分析与取证

1.使用 Wireshark 查看并分析 WindowsXP 桌面下的 attack.pcapng 数据包文件,通过分析数据包 attack.pcapng 找出黑客的 IP 地址,并将黑客的 IP 地址作为 FLAG(形式:[IP 地址])提交;

解题思路:太难了跳过,先下一题

答案:[172.16.1.102]


2.继续查看数据包文件 attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为 FLAG(形式:[端口名 1,端口名 2,端口名 3…,端口名n])从低到高提交;

解题思路:太难了跳过,先下一题

得知黑客IP地址后,在wireshark中筛选 172.16.1.102到达172.1.101的全部数据包,并假定黑客使用SYN扫描

201902281551358155597052.png

过滤龟则:ip.src==172.16.1.102 and ip.dst==172.16.1.101 然后看SYN包

答案:[21,23,80,445,3389,5007]


3.继续查看数据包文件 attack.pacapng 分析出黑客最终获得的用户名是什么,并将用户名作为 FLAG(形式:[用户名])提交;

解题思路:太难了跳过,先下一题

细心的人可能发现了,在upload文件之前有一个login.PHP的POST数据

201902281551358236629914.png

答案:Lancelot


4.继续查看数据包文件 attack.pacapng 分析出黑客最终获得的密码是什么,并将密码作为 FLAG(形式:[密码])提交;

解题思路:太难了跳过,先下一题

答案:12369874


5.继续查看数据包文件 attack.pacapng 分析出黑客连接一句话木马的密码是什么,并将一句话密码作为 FLAG(形式:[一句话密码])提交;

解题思路:这下子终于简单点了,在wireshark中筛选HTTP的数据包,找到一个比较可疑的访问,如图~ (可疑看出Q.php有很大可疑是木马,双击打开数据包一探究竟)

由此得知,题1中需要找的黑客IP就是 172.16.1.102 。。。。。

201902281551357343306095.png

答案:[alpha]


6.继续查看数据包文件 attack.pacapng 分析出黑客下载了什么文件,并将文件名及后缀作为 FLAG(形式:[文件名.后缀名])提交;

解题思路:对题5 找到的3个POST类型的数据包 一个一个打开看看

打开第二个数据包,发现有一个flag.zip的文件,那么究竟是不是这个文件呢,继续看下一个数据包

201902281551357683320078.png

​ 打开第三个数据包,可以看出,是下载了flag.zip。。。PK是ZIP文件的头部

201902281551357778546643.png

答案:flag.zip


7.继续查看数据包文件 attack.pacapng 提取出黑客下载的文件,并将文件里面的内容为 FLAG(形式:[文件内容])提交;

解题思路:使用winhex还原压缩包或者使用binwalk -Me attack.pacapng 然后查看

201902281551357967728879.png

答案:flag{Manners maketh man}

现在回头看看 2 3 4 题