简介：

Apply your analytical skills to analyze the malicious network traffic using Wireshark.

房间链接：

问题：

挑战开始：

这个房间给了一个虚拟机，开启后是一个linux系统，pcap包在他的桌面上

但是机器确实有点卡，用着不舒服，所以想办法吧pcap包弄出来
这里机器不出网，但是在thm上开了一个kali虚拟机是通的

所以在机器上开了个http服务先下载到kali虚拟机上，其实这儿也可以直接本地kali挂openvpn连进去下载，但是懒hhh
接着kali虚拟机上传到文叔叔上，本地下载就可以了
丢到本地的kali里面看

先来看第一个问题

题目中已经提示了http连接
直接过滤http流量进行分析

这里的日期格式不正确，需要在view中更改

这里盲猜第一个下载压缩包的时间
显示正确

第二个问题

问题一可以得知
documents.zip

第三个问题

右键追踪TCP流就可以看到域名

attirenepal.com

第四个问题

在响应包中有显示

chart-1530076591.xls

第五个问题

网络服务器名称在响应头中有

LiteSpeed

第六个问题

版本也在响应头中

PHP/7.2.34

第七个问题

追踪tcp流分析
第一个在tcp流90中
finejewels.com.au

第二个在97中
thietbiagt.com

第三个在98中
new.americold.com

第八个问题

回到TCP 90里，可以看到godaddy

godaddy

第九个问题

这个有点麻烦，看了下提示，就是统计TCP中IP来VirusTotal中去检索
Statistics > Conversations

185.106.96.158,185.125.204.174

第十个问题

ocsp.verisign.com

第十一个问题

survmeter.live

第十二个问题

securitybusinpuff.com

第十三个问题

直接追踪tcp流

maldivehost.net

第十四个问题

直接上一个问题中获取
第十五个问题

仍然是同一个TCP流
281

第十六个问题

仍然是同一个流

Apache/2.4.49 (cPanel) OpenSSL/1.1.1l mod_bwlimited/1.4