今天刷了‘工控安全取證’ ,題目描述:有黑客入侵工控設備後在內網發起了大量掃描,並且掃描次數不止一次。 請分析日誌,指出對方第4次發起掃描時的數據包的編號,flag形式爲 flag{}
首先獲得一個log文件,打開看了下亂碼,結合他讓找出數據包的編號,改爲.pcap的後綴
而後wireshark成功打開。接着咱們看到一堆的請求tcp,icmp。而後箭頭這就是要找到編號的那一列
而後根據常規的掃描,基本就是icmp協議了。因此簡單粗暴的直接篩選icmp。而後這個滾輪看着就少多了,也就十幾條,隨便試個10次其實答案就出來了。
爲了更簡單的定位到flag的編號,嘿嘿,咱們來用時間來判斷。
根據不一樣的ip網段,從下往上,來分辨出最後的ip達到的編號。即最終的flag
不曉得爲啥子,感受個人思考和出題獅虎的想法不同。。可能個人腦殼開光了吧。。安全
簡單的流量分析
描述:不久前,運維人員在平常安全檢查的時候發現現場某設備會不時向某不知名ip發出非正常的ICMP PING包。這引發了運維人員的注意,他在過濾出ICMP包分析並立刻開始作應急處理極可能已被攻擊的設備。運維人員到底發現了什麼?flag形式爲 flag{}運維
都是icmp,因此前面寫的文章裏的方法就不能用了
仔細觀察,這裏面啥密碼都不是也沒明顯標誌,更沒有傳說中的=號//否則聯合起來能湊一桌麻將??咳咳因此不是拼接。
仔細觀察,也沒有什麼隱寫手法,因此下面的都廢了。。
而後裏面的length大量的重複,因此確定不是它。
而後思考到數據包的長度,是變化的,因此寫個腳本,取出數據包的長度,而後看出來是ascii碼,解碼,以後是base64解密。出flag
tcp