TryHackMe-Carnage

发布于 2024-03-24  98 次阅读


简介:

Apply your analytical skills to analyze the malicious network traffic using Wireshark.

房间链接:

https://tryhackme.com/r/room/c2carnage

问题:



挑战开始:

这个房间给了一个虚拟机,开启后是一个linux系统,pcap包在他的桌面上

但是机器确实有点卡,用着不舒服,所以想办法吧pcap包弄出来
这里机器不出网,但是在thm上开了一个kali虚拟机是通的

所以在机器上开了个http服务先下载到kali虚拟机上,其实这儿也可以直接本地kali挂openvpn连进去下载,但是懒hhh
接着kali虚拟机上传到文叔叔上,本地下载就可以了
丢到本地的kali里面看

先来看第一个问题

题目中已经提示了http连接
直接过滤http流量进行分析

这里的日期格式不正确,需要在view中更改

这里盲猜第一个下载压缩包的时间
显示正确

第二个问题

问题一可以得知
documents.zip

第三个问题

右键追踪TCP流就可以看到域名

attirenepal.com

第四个问题

在响应包中有显示

chart-1530076591.xls

第五个问题

网络服务器名称在响应头中有

LiteSpeed

第六个问题

版本也在响应头中

PHP/7.2.34

第七个问题

追踪tcp流分析
第一个在tcp流90中
finejewels.com.au

第二个在97中
thietbiagt.com

第三个在98中
new.americold.com


第八个问题

回到TCP 90里,可以看到godaddy

godaddy

第九个问题

这个有点麻烦,看了下提示,就是统计TCP中IP来VirusTotal中去检索
Statistics > Conversations


185.106.96.158,185.125.204.174

第十个问题


ocsp.verisign.com

第十一个问题


survmeter.live

第十二个问题


securitybusinpuff.com

第十三个问题

直接追踪tcp流

maldivehost.net

第十四个问题

直接上一个问题中获取
第十五个问题

仍然是同一个TCP流
281

第十六个问题

仍然是同一个流

Apache/2.4.49 (cPanel) OpenSSL/1.1.1l mod_bwlimited/1.4

第十七个问题

直接用过滤器
ip.addr==10.9.23.102 && dns && frame contains "api"

2021-09-24 17:00:04

第十八个问题

api.ipify.org

第十九个问题

直接筛选smtp包

farshin@mailfa.com

最后一个问题


1439

届ける言葉を今は育ててる
最后更新于 2024-03-24