文章目錄
- 一、WireShark網絡取證是什么?
- 二、WireShark網絡取證
- 1.WireShark網絡取證分析第一集
- Ann的即時通訊好友叫什么名字?
- 在捕獲的即時通訊對話中第一條評論是什么?
- Ann傳輸的文件叫什么名字?
- 您想提取的文件的魔數是什么(前四個字節)?
- 文件的MD5sum是多少?
- 什么是秘密配方?
- 2.WireShark網絡取證分析第二集
- Ann的電子郵件地址是什么?
- Ann的電子郵件密碼是什么?
- Ann的秘密情人的電子郵件地址是什么?
- Ann告訴她的秘密情人要帶哪兩樣東西?
- Ann發送給她的秘密愛人的附件的名稱是什么?
- Ann發送給她的秘密愛人的附件的MD5是多少?
- 附件文檔中嵌入的圖像的MD5是多少?
- Ann和她的秘密情人在哪個城市和國家集合點?
- 3.WireShark網絡取證分析第三集
- Ann的AppleTV的MAC地址是多少?
- Ann的AppleTV在HTTP請求中User-Agent是什么?
- Ann在AppleTV上的前四個搜索字詞是什么(所有搜索字詞都算在內)?
- Ann點擊的第一部電影的標題是什么?
- 電影預告片的完整URL是什么(關鍵詞:preview-url)?
- Ann點擊的第二部電影的標題是什么?
- 購買價格是多少(關鍵詞: price-display )?
- Ann搜索的最后一個完整字詞是什么?
- 4.WireShark網絡取證分析第四集
- X先生的掃描器的IP地址是什么?
- X先生進行的第一次端口掃描是什么類型的端口掃描?(注意:掃描包含數千個數據包),挑一個:
- X先生發現的目標的IP地址是什么?
- 他找到的蘋果系統的MAC地址是什么?
- 他找到的Windows系統的IP地址是什么?
- Windows系統上打開了哪些TCP端口?(請從最低到最高列出十進制數字)
- 5.WireShark網絡取證分析第五集
- 兩個Java程序,這兩個.jar文件的名稱是什么?
- 受感染的Windows系統上Moneymany女士的用戶名是什么?
- 起始URL是什么?換句話說,Moneymany女士可能點擊了哪個URL?
- 惡意的Windows可執行文件被下載到Moneymany女士的系統上。文件的MD5哈希是什么?(提示:它以“ 91ed”結尾)
- 用于保護惡意Windows可執行文件的打包程序的名稱是什么?
- 惡意Windows可執行文件的解壓縮版本的MD5是什么?
- 惡意可執行文件嘗試使用硬編碼到其中的IP地址(沒有DNS查找)連接到Internet主機。該互聯網主機的IP地址是什么?
- 三、dvwa靶場環境分析漏洞
- 1.Command Injection
- 2.CSRF
- 3.XSS(Reflected)
- 4.XSS(Stored)
- 總結
一、WireShark網絡取證是什么?
WireShark 是網絡取證的常用工具,可捕獲并解析網絡數據包,將二進制流量轉化為可讀信息。它能提取通信雙方 IP/MAC 地址、端口、協議類型等頭部數據,還能還原 HTTP 請求、郵件內容、傳輸文件等負載內容。通過過濾特定流量(如指定 IP 或端口)、追蹤 TCP 數據流,可定位異常行為(如惡意掃描、數據外傳),從數據包中導出文件并校驗哈希值以固定證據。常用于調查數據泄露、惡意軟件通信、網絡攻擊等場景,通過分析流量還原事件過程,為網絡安全事件提供證據支撐。
網絡取證題目網站:http://forensicscontest.com/puzzles
二、WireShark網絡取證
1.WireShark網絡取證分析第一集
1.題目介紹
Anarchy-R-Us公司懷疑他們的員工Ann Dercover實際上是他們競爭對手的秘密特工,Ann可以接觸公司的重要資產—秘密配方,安保人員擔心Ann可能試圖泄露公司的秘密配方,安保人員一段時間以來一直監控著Ann的活動,但是直到現在還沒有發現任何可疑的行為,直到今天一臺意外的筆記本電腦突然出現在公司的無線網絡上,工作人員猜測可能是停車場里的某個人,因為在建筑物內沒有看到陌生人,An的電腦(192.168.1.158)通過無線網絡向這臺電腦發送了即時消息,之后這臺流氓筆記本電腦很快就消失了,根據安全人員報告目前有捕獲到一個活動的數據包,但我們不知道發生了什么,需要進行協助分析,現在的你是一位專業的調查員,你的任務是找出安在給誰發信息,她發了什么并找到證據,主要包括:
1.Ann的即時通訊好友叫什么名字?
2.在捕獲的即時通訊對話中第一條評論是什么?
3.Ann傳輸的文件叫什么名字?
4.您想提取的文件的魔數是什么(前四個字節)?
5.文件的MD5sum是多少?
6.什么是秘密配方?
2.報文分析
Step 1:下載數據包到本地后使用wireshark打開
Step 2:由于已知An的電腦(192.168.1.158)通過無線網絡向電腦發送了即時消息,那么我們可以直接過濾IP地址定位到相關的數據包
輸入:
ip.src == 192.168.1.158
Step 3:使用了SSL加密,沒法直接查看其中的明文信息,對IP地址進行了查詢,發現該IP地址是"美國AOL美國在線公司"的地址
Step 4:改為未加密狀態(TCP port)
Step 5:追蹤流
詳細信息
Ann的即時通訊好友叫什么名字?
Sec558user1
在捕獲的即時通訊對話中第一條評論是什么?
Here’s the secret recipe… I just downloaded it from the file server. Just copy to a thumb drive and you’re good to go >:-)
輸入:
data
Ann傳輸的文件叫什么名字?
recipe.docx
您想提取的文件的魔數是什么(前四個字節)?
50 4b 03 04
文件的MD5sum是多少?
8350582774e1d4dbe1d61d64c89e0ea1
復制到input,刪掉pk之前的,保存,不要打開下載好的word文件,防止MD5值變化
輸入:
certutil.exe -hashfile .\download.docx MD5
什么是秘密配方?
打開下載好的文件
2.WireShark網絡取證分析第二集
1.題目介紹
被保釋后, Ann消失了!幸運的是,在她跳過城鎮之前,調查人員正在仔細監控她的網絡活動。“我們相信安在離開之前可能已經與她的秘密情人X先生進行了溝通,”警察局長說。“數據包捕獲可能包含她下落的線索。你是法醫調查員。你的任務是弄清楚安發了什么電子郵件,她去了哪里,并恢復證據,包括:
1.Ann的電子郵件地址是什么?
2.Ann的電子郵件密碼是什么?
3.Ann的秘密情人的電子郵件地址是什么?
4.Ann告訴她的秘密情人要帶哪兩樣東西?
5.Ann發送給她的秘密愛人的附件的名稱是什么?
6.Ann發送給她的秘密愛人的附件的MD5是多少?
7.Ann和她的秘密情人在哪個城市和國家集合點?
8.附件文檔中嵌入的圖像的MD5是多少?
2.報文分析
Ann的電子郵件地址是什么?
sneakyg33k@aol.com
Ann的電子郵件密碼是什么?
558r00lz
郵箱協議
)
——PROJECT#2-BPlusTree-Task#1)
)
)
