电子数据取证每日一练

本栏目主要是针对比赛题目进行分析和解题思路分享，只进行知识分享，不具一定的实战能力，后台不解答涉及可能侵害他人权利的问题，切勿用于违法犯罪活动。如果有工作方面的解答需求，请后台联系添加微信私聊。

2023年第一届龙信杯电子数据取证竞赛(流量部分)

上一期内容：电子数据取证每日一练-流量取证

案情介绍

2023 年 9 月，某公安机关接受害人报案:通过微信添加认识一位叫“周微”的女人，两人谈论甚欢，确定网上恋爱关系，后邀约裸聊，受害人上钩后，“周微”和受害人进行裸聊，整个过程被涉诈团伙录音录像。同时周微以自己做直播“涨粉”为由，引导受害人下载其事先制作好的木马 APP，受害人安装该 APP 后，嫌疑人利用录制的视频和受害人的通讯录做要挟，从而实施诈骗。

赛题和工具网盘地址：公众号菜单栏

学习目标：了解常见的渗透方式。这篇文章讲的内容有一点多，也有一点杂，讲的内容没有很细，但是涉及的知识点还是比较全面的，之后会根据知识点的内容再对每一个内容详细来写一写，各位师傅先看一看，了解了解，如有不足欢迎留言指正。

使用工具（在网盘地址中提供）：wireshark、networkminer

难度：简单难度

题目一览：

1.分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

2.分析“数据包1.cap”，出问题的服务器IP地址是_______。（格式：127.0.0.1）

3.分析“数据包1.cap”，文件下发服务器的IP地址是_______。（标准格式：127.0.0.1）

4.分析“数据包1.cap”，攻击者利用_______漏洞进行远程代码执行。（标准格式：XXX）

5.分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为_______。(标准格式:abcd）

6.分析“数据包2.cap”，其获取文件的路径是________。（标准格式：D:/X/X/1.txt）

7.分析“数据包2.cap”，文件下载服务器的认证账号密码是_______。（标准格式：123）

8.分析“数据包2.cap”，其下载的文件名大小有________字节。（标准格式：123）

本题所需知识点：

漏洞利用和攻击相关术语

1.Payload（有效载荷）：Payload 是攻击中实际执行的代码或指令，目的是在受害者系统上执行某种操作。它可以是启动一个反向 shell、植入木马、提权、删除文件等。Payload 通常被嵌入到 exploit 中，成功利用漏洞后会在目标系统上执行。

2.Shellcode（壳代码）：Shellcode 是一种特定类型的 payload，它的目标是在被利用的系统上打开一个 shell（命令行接口），从而使攻击者可以直接与系统交互。Shellcode 通常非常紧凑，设计用来在有限的内存空间内执行。它是攻击代码的核心部分，通常被包含在 exploit 中。

3.Exp（Exploit，漏洞利用）：Exploit 是指利用目标系统漏洞或软件缺陷的代码或技术。它是攻击者用来触发漏洞并执行 payload 的工具或脚本。Exp 可能包含各种复杂的步骤来规避防护机制、提升权限或执行任意代码。

4.PoC（Proof of Concept，概念验证）：PoC 是用于证明漏洞存在的简单代码或方法，但它不一定具有恶意目的。PoC 的目标是演示漏洞的可利用性，并验证漏洞是否真实存在，通常用于报告漏洞时向厂商或安全社区提供证据。

5.Webshell（Web Shell）是一种特殊类型的恶意脚本，攻击者将其上传到目标服务器，以便远程控制服务器。它通常以 web 应用程序文件的形式存在，如 .php、.asp、.jsp 等，通过 web 浏览器或 HTTP 请求执行。这类脚本允许攻击者远程执行命令、上传或下载文件、操作数据库等操作，具有极大的危害性。

流量取证中常见的攻击方式

1.DDoS攻击（分布式拒绝服务攻击）：特点在于多ip对专一ip攻击

攻击者通过多个源头同时向目标服务器发送大量请求，耗尽其资源，导致服务无法正常运作。这种攻击通常由僵尸网络发起，流量异常大且分散，目标难以应对。

多个不同ip向192.168.0.6发送大量包

2.DoS攻击（拒绝服务攻击）：一般是一对一进行攻击

与DDoS不同，DoS攻击是通过单个来源发送大量请求或恶意流量，使目标服务器无法响应正常用户的请求。攻击者可以利用漏洞或通过资源消耗让系统宕机。

由10.5.0.19向116.211.168.203发送大量包，最后导致瘫痪

3.SQL注入：常见于sqlmap等注入

攻击者通过在输入字段中插入恶意的SQL语句，控制数据库执行未经授权的操作，从而获取或篡改敏感数据。SQL注入的流量通常带有异常的查询请求或数据包。

4.文档攻击：常见于word等文档的宏中隐藏恶意代码

攻击者利用特制的恶意文档（如PDF、Word文件）来进行攻击。这些文档通常含有恶意脚本或代码，当用户打开文档时会触发恶意行为，如远程控制或数据窃取。通过流量分析可以发现从恶意文档发起的异常通信。

5.端口和目录扫描：nmap、fscan等对端口和目录进行扫描的工具流量

攻击者扫描目标系统的开放端口，寻找漏洞以进行后续攻击。流量分析中可以发现大量异常的扫描活动。

上一期流量分析中有涉及到：

使用nmap扫描捕捉的流量，可以看到nmap使用不同的端口对目标机器进行扫描

payload：比如冰蝎、CS、哥斯拉等木马流量

包括木马、蠕虫和病毒等，攻击者通过网络流量传播这些恶意程序，流量取证可以帮助检测这类威胁的传播路径和行为。

常见payload工具流量特征分析

1.cs流量特征：

最主要特征：心跳包

会有一个很明显的心跳包来维持活动

如果用特定的端口，也会伪装心跳包为比较正常的名字

通过对含有数据的心跳包解密就能获取信息

2.MSF流量特征：

大概是这样的，图片来自下面的文章：https://payloads.cn/2020/0810/metasploit-traffic-analysis-and-antiforensics.html，大佬写的很细致

3.蚁剑：

蚁剑的 Webshell 通常是 PHP、ASP 或 JSP 等格式的恶意脚本，这些脚本通过特定的命令执行函数（如 PHP 的 eval()、system()、exec() 等）来执行命令并返回结果。蚁剑 Webshell 会通过网络传输这些命令执行结果。

请求头是大杂烩，什么都有，然后webshell的特征也很明显

4.菜刀：

老版本采用明文传输，非常好辨认新版本采用base64加密，检测思路就是分析流量包，发现大量的base64加密密文就需要注意，下图是用菜刀上传的一张图片，使用base64加密传输的

5.哥斯拉：

哥斯拉往往将恶意流量伪装成合法的 Web 流量，如伪装成静态资源请求（比如图片、CSS、JS 文件等），或嵌入到看似合法的 HTTP 请求中，利用 POST 或 GET 请求进行数据交换。

6.冰蝎：

冰蝎1：

第一阶段：密钥协商1）攻击者通过 GET 或者 POST 方法，形如 http://xx.xxx.xx.xx/shell.aspx?pass=645 的请求服务器密钥；2）服务器使用随机数 MD5 的高16位作为密钥，存储到会话的 $_SESSION 变量中，并返回密钥给攻击者。第二阶段-加密传输1）客户端把待执行命令作为输入，利用 AES 算法或 XOR 运算进行加密，并发送至服务端；2）服务端接受密文后进行 AES 或 XOR 运算解密，执行相应的命令；3）执行结果通过AES加密后返回给攻击者。

参考文献：https://www.cnblogs.com/cowpokee/p/18265496

冰蝎2：主要查看User-Agent头，如果发现同一个ip访问，但是UA头在不断变化，一般来说就是冰蝎2的流量

冰蝎3：

使用冰蝎抓捕的流量，解密后得到加密内容

冰蝎4：

冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。然后解密方法和3是类似的，默认密钥都是e45e329feb5d925b

题目解析

1.分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

A.DDoS攻击

B.DoS攻击

C.SQL注入

D.文档攻击

DoS攻击使用一台设备与一个网络连接，而 DDoS 攻击使用多台设备与多地网络，但是下面的tcp都是一对一

sql注入和文档攻击没有看到注入和文件马上传，只有一大推tcp协议

2.分析“数据包1.cap”，出问题的服务器IP地址是___。（格式：127.0.0.1）

116.211.168.203

10.5.0.19DOS攻击116.211.168.203，被攻击80端口

3.分析“数据包1.cap”，文件下发服务器的IP地址是___。（标准格式：127.0.0.1）

120.210.129.29

看到Java.log 是120.210.129.29下发给的10.5.0.19

4.分析“数据包1.cap”，攻击者利用___漏洞进行远程代码执行。（标准格式：XXX）

struts2

在网上搜一下payload是什么漏洞的

5.分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为___。(标准格式:abcd）

87540c645d003e6eebf1102e6f904197

这里应该就是上面的java.log了，简单查看一下是一个程序并不是一个日志，所以很可疑，放到https://www.virustotal.com上面查看一下，确实是恶意程序

6.分析“数据包2.cap”，其获取文件的路径是____。（标准格式：D:/X/X/1.txt）

C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

url解码

7.分析“数据包2.cap”，文件下载服务器的认证账号密码是___。（标准格式：123）

passwd

这个地方有两个密码，一个没访问成功，用的另一个是下载文件用的

在networkminer里面可以查看到

8.分析“数据包2.cap”，其下载的文件名大小有____字节。（标准格式：123）

后面题目改成文件大小了

211625

或者导出来查看一下

总结

本篇文章介绍了一下常见的流量类型，主要包括常见的渗透工具流量特征、信息资产收集流量特征以及一些渗透的术语，然后题目主要是涉及到了payload的归属分析。之后会根据常见的流量挨个出文章来一一解析。

往期内容推荐

电子数据取证每日一练往期合集