附件题:传统流量取证
题目描述:
在某次攻防演练中,小王发现流量探针平台突然告警,小王第一时间下载了告警流量包,并进行分析:发现攻击队攻击在攻入内网后,利用了一个内网OA的一个漏洞,获取了某机器权限,并成功下载了一个关键压缩包文件。你能帮忙分析出压缩包里面的内容吗?
附件下载:
https://download.csdn.net/download/qpeity/33885850https://download.csdn.net/download/qpeity/33885850
附件解压缩得到一个告警包.pcapng。根据提示“成功下载了一个压缩包文件”,筛选http.response.code == 200,从后往前找发现 No.2212 是 Response 似乎传输了文件。找到 No.2212 对应的 Request,也就是 No.625 ,发现了“Form item: "z1" = "C:\\security.emtp.zip"”。
接下来,流追踪——TCP 流。 选择下载文件的传输方向,数据以原始数据的方式展示,另存为security.emtp.zip。
把 security.emtp.zip 解压缩得到一个文件 security.emtp 。这个是用工控软件 EasyBuilder Pro 打开的。找到 EasyBuilder Pro v6.05并安装,打开文件 security.emtp,在主界面得到flag —— flag{beSt_nucl@ar}