一个人如果只遵照他的内心去活着,他要么成为一个疯子,要么成为一个传奇。

0x01 问题

第 1 级问题:

  1. 被感染的 Windows 虚拟机的 IP 地址是多少?

  2. 被感染的 Windows 虚拟机的主机名是什么?

  3. 受感染虚拟机的 MAC 地址是多少?

  4. 受感染网站的 IP 地址是什么?

  5. 被入侵网站的域名是什么?

  6. 提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么?

第 2 级问题:

  1. 指向漏洞利用工具包 (EK. 登陆页面的重定向 URL 是什么?

  2. 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪些其他漏洞?

分析数据包

  1. 寻找被感染的Windows虚拟机的IP地址,直接看包序号1-10,前面几个已经可以看出来,(虚拟机地址一般是内网的,172开头,192开头等)

    所以第一题答案是172.16.165.165
  2. 找主机名,可以直接搜索Hosst Name这样是使用CTRL+F直接查找字符串的方法。
    还有就是过滤器筛选dhcp

    主机名是K34EN6W3N-PC
    精准定位HostName,过滤器输入dhcp.option.hostname
  3. 找Mac地址,精确查找dhcp.hw.mac_addr

    所以答案为:f0:19:af:02:9b:f1
  4. 如果需要查找受感染网站的IP地址,只需看HTTP的数据包即可,因为黑客攻击网站首先是可以访问的,而且攻击过程中一定会多次进行访问(不正常次数),所以使用过滤器先对HTTP的数据包进行过滤,然后再进行查看。

    看到了172.16.165.16582.150.140.30进行了大量的访问,产生了很多访问记录,同时看后面,该IP地址也回应了许多状态码为200的数据包。所以可以确定了这个收感染的IP地址为82.150.140.30
  5. 随意找个172对82发出请求的HTTP数据包,跟踪数据流即可看到Host。

    网站域名为:www.ciniholland.nl
  6. 提供漏洞利用工具包和软件的IP地址和域名,找这个信息,需要先捋清楚一点,就是工具包是联网从网络上下载下来的,就是HTTP数据包,下载记录,在接受的时候文件会隐藏在数据包中。所以直接导出HTTP对象查看。
    然后使用杀软来扫描

    发现了病毒木马,直接定位相应数据包进行查看。
    然后问题的答案也都揭晓了。

    IP地址: 37.200.69.143,域名: http://stand.trustandprobaterealty.com
    同时可以看到,传输过来的数据,也就是从网站上下载的数据内容是个压缩包。
  7. 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么?
    登录页面的重定向URL,已经找到了漏洞下载那边url和IP地址(上一题),所以就找它前面的数据包,正常逻辑(先登录在下载内容)

    可以看到在37.200.69.143前面有一个陌生的IP地址,这个就是登陆前的重定向IP地址。查看与这个IP地址交互的数据包中的url。

    答案:http://24corp-shop.com/
  8. 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪些其他漏洞?
    在HTTP导出的对象中,看到相关内容。

    导出后,将相应文件改后缀名,swf文件或者jar文件。等重命名一下(改后缀)上传至微步沙箱即可查看相应的CVE编号

    jar包同样。微步沙箱

    到此

    因为后面的问题,没有数据分析的地方了,所以就直接略过了。
    学习出处:潇湘信安