1.攻击机的ip是多少?[标准格式:111.111.111.111]

2.被攻击网站服务器开放端口数量是多少?[标准格式:1]

开放端口数量可以通过寻找syn 和ack 标志位均为1,服务器为192.168.111.179

ip.src == 192.168.111.179 and tcp.flags.syn == 1 and tcp.flags.ack == 1

分别是80 22 25175,所以是3个

3.攻击者对参数fuzzing成功数量是多少?[标准格式:1]

https://blog.csdn.net/qq_43332010/article/details/120377344

fuzzing的基本概念可以学习一下

Fuzzing技术是一种基于黑盒(或灰盒)的测试技术,通过自动化生成并执行大量的随机测试用例来发现产品或协议的未知漏洞

在知道fuzzing概念之后,我们开始做题,http内passwd大小都是0,所以并没有成功,所以为0

4.攻击者在网站服务器上传了一个恶意文件,进行了创建文件操作,新文件名是什么?[标准格式:a.txt]

multipart/form-data 是一种 HTTP 请求内容类型(Content-Type),主要用于在 Web 表单中上传文件或提交包含二进制数据的表单。 它允许在单个 HTTP 请求中发送多个不同类型的数据(如文本字段和文件)。

所以在wireshark中multipart/form-data,可以看到就一个,upload.php

打开后看到是一段后门,新文件是views.php

5.攻击者对网站内容进行了修改,添加恶意链接是什么?[标准格式:http://www.baidu.com/index.php]

因为根据上一题来,我们找到了views.php,那么我们找一下请求路径(URI)恰好等于 /views.php 的数据包。

http.request.uri=="/views.php"

然后找到最后一个数据包,追踪http

做到这一步不太会了

后续看到大佬tcp.stream eq 130651

https://www.cnblogs.com/WXjzc/p/19210337#tid-NSZjCE

6.分发恶意文件域名是什么?[标准格式:baidu.com]

看流量包是先进入网站,接着跳转到了/transfer.html 然后跳转到download,最后下载了setup.exe,那么他的文件域名就是:sxh67.com

7.被控(访问了被修改后的网站)主机ip是什么?[标准格式:111.111.111.111]

基础题

Logo

DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。

更多推荐