WireShark网络取证分析第一集到第五集和dvwa靶场环境分析漏洞
文章目录
- 一、WireShark网络取证是什么?
- 二、WireShark网络取证
- 1.WireShark网络取证分析第一集
- Ann的即时通讯好友叫什么名字?
- 在捕获的即时通讯对话中第一条评论是什么?
- Ann传输的文件叫什么名字?
- 您想提取的文件的魔数是什么(前四个字节)?
- 文件的MD5sum是多少?
- 什么是秘密配方?
- 2.WireShark网络取证分析第二集
- Ann的电子邮件地址是什么?
- Ann的电子邮件密码是什么?
- Ann的秘密情人的电子邮件地址是什么?
- Ann告诉她的秘密情人要带哪两样东西?
- Ann发送给她的秘密爱人的附件的名称是什么?
- Ann发送给她的秘密爱人的附件的MD5是多少?
- 附件文档中嵌入的图像的MD5是多少?
- Ann和她的秘密情人在哪个城市和国家集合点?
- 3.WireShark网络取证分析第三集
- Ann的AppleTV的MAC地址是多少?
- Ann的AppleTV在HTTP请求中User-Agent是什么?
- Ann在AppleTV上的前四个搜索字词是什么(所有搜索字词都算在内)?
- Ann点击的第一部电影的标题是什么?
- 电影预告片的完整URL是什么(关键词:preview-url)?
- Ann点击的第二部电影的标题是什么?
- 购买价格是多少(关键词: price-display )?
- Ann搜索的最后一个完整字词是什么?
- 4.WireShark网络取证分析第四集
- X先生的扫描器的IP地址是什么?
- X先生进行的第一次端口扫描是什么类型的端口扫描?(注意:扫描包含数千个数据包),挑一个:
- X先生发现的目标的IP地址是什么?
- 他找到的苹果系统的MAC地址是什么?
- 他找到的Windows系统的IP地址是什么?
- Windows系统上打开了哪些TCP端口?(请从最低到最高列出十进制数字)
- 5.WireShark网络取证分析第五集
- 两个Java程序,这两个.jar文件的名称是什么?
- 受感染的Windows系统上Moneymany女士的用户名是什么?
- 起始URL是什么?换句话说,Moneymany女士可能点击了哪个URL?
- 恶意的Windows可执行文件被下载到Moneymany女士的系统上。文件的MD5哈希是什么?(提示:它以“ 91ed”结尾)
- 用于保护恶意Windows可执行文件的打包程序的名称是什么?
- 恶意Windows可执行文件的解压缩版本的MD5是什么?
- 恶意可执行文件尝试使用硬编码到其中的IP地址(没有DNS查找)连接到Internet主机。该互联网主机的IP地址是什么?
- 三、dvwa靶场环境分析漏洞
- 1.Command Injection
- 2.CSRF
- 3.XSS(Reflected)
- 4.XSS(Stored)
- 总结
一、WireShark网络取证是什么?
WireShark 是网络取证的常用工具,可捕获并解析网络数据包,将二进制流量转化为可读信息。它能提取通信双方 IP/MAC 地址、端口、协议类型等头部数据,还能还原 HTTP 请求、邮件内容、传输文件等负载内容。通过过滤特定流量(如指定 IP 或端口)、追踪 TCP 数据流,可定位异常行为(如恶意扫描、数据外传),从数据包中导出文件并校验哈希值以固定证据。常用于调查数据泄露、恶意软件通信、网络攻击等场景,通过分析流量还原事件过程,为网络安全事件提供证据支撑。
网络取证题目网站:http://forensicscontest.com/puzzles
二、WireShark网络取证
1.WireShark网络取证分析第一集
1.题目介绍
Anarchy-R-Us公司怀疑他们的员工Ann Dercover实际上是他们竞争对手的秘密特工,Ann可以接触公司的重要资产—秘密配方,安保人员担心Ann可能试图泄露公司的秘密配方,安保人员一段时间以来一直监控着Ann的活动,但是直到现在还没有发现任何可疑的行为,直到今天一台意外的笔记本电脑突然出现在公司的无线网络上,工作人员猜测可能是停车场里的某个人,因为在建筑物内没有看到陌生人,An的电脑(192.168.1.158)通过无线网络向这台电脑发送了即时消息,之后这台流氓笔记本电脑很快就消失了,根据安全人员报告目前有捕获到一个活动的数据包,但我们不知道发生了什么,需要进行协助分析,现在的你是一位专业的调查员,你的任务是找出安在给谁发信息,她发了什么并找到证据,主要包括:
1.Ann的即时通讯好友叫什么名字?
2.在捕获的即时通讯对话中第一条评论是什么?
3.Ann传输的文件叫什么名字?
4.您想提取的文件的魔数是什么(前四个字节)?
5.文件的MD5sum是多少?
6.什么是秘密配方?
2.报文分析
Step 1:下载数据包到本地后使用wireshark打开
Step 2:由于已知An的电脑(192.168.1.158)通过无线网络向电脑发送了即时消息,那么我们可以直接过滤IP地址定位到相关的数据包
输入:
ip.src == 192.168.1.158
Step 3:使用了SSL加密,没法直接查看其中的明文信息,对IP地址进行了查询,发现该IP地址是"美国AOL美国在线公司"的地址
Step 4:改为未加密状态(TCP port)
Step 5:追踪流
详细信息
Ann的即时通讯好友叫什么名字?
Sec558user1
在捕获的即时通讯对话中第一条评论是什么?
Here’s the secret recipe… I just downloaded it from the file server. Just copy to a thumb drive and you’re good to go >:-)
输入:
data
Ann传输的文件叫什么名字?
recipe.docx
您想提取的文件的魔数是什么(前四个字节)?
50 4b 03 04
文件的MD5sum是多少?
8350582774e1d4dbe1d61d64c89e0ea1
复制到input,删掉pk之前的,保存,不要打开下载好的word文件,防止MD5值变化
输入:
certutil.exe -hashfile .\download.docx MD5
什么是秘密配方?
打开下载好的文件
2.WireShark网络取证分析第二集
1.题目介绍
被保释后, Ann消失了!幸运的是,在她跳过城镇之前,调查人员正在仔细监控她的网络活动。“我们相信安在离开之前可能已经与她的秘密情人X先生进行了沟通,”警察局长说。“数据包捕获可能包含她下落的线索。你是法医调查员。你的任务是弄清楚安发了什么电子邮件,她去了哪里,并恢复证据,包括:
1.Ann的电子邮件地址是什么?
2.Ann的电子邮件密码是什么?
3.Ann的秘密情人的电子邮件地址是什么?
4.Ann告诉她的秘密情人要带哪两样东西?
5.Ann发送给她的秘密爱人的附件的名称是什么?
6.Ann发送给她的秘密爱人的附件的MD5是多少?
7.Ann和她的秘密情人在哪个城市和国家集合点?
8.附件文档中嵌入的图像的MD5是多少?
2.报文分析
Ann的电子邮件地址是什么?
sneakyg33k@aol.com
Ann的电子邮件密码是什么?
558r00lz
邮箱协议
