玄机——第六章流量特征分析-小王公司收到的钓鱼邮件 wp

1. 简介

服务器场景操作系统 None
服务器账号密码 None None
任务环境说明
   注：样本请勿在本地运行！！！样本请勿在本地运行！！！样本请勿在本地运行！！！
   应急响应工程师小王在 WAF 上发现了一段恶意流量，请分析流量且提交对应 FLAG

2.参考文章

玄机——第六章流量特征分析-小王公司收到的钓鱼邮件 wp_玄机注册码-CSDN博客

3.步骤

1. 下载数据包文件 hacker1.pacapng，分析恶意程序访问了内嵌 URL 获取了 zip 压缩包，该 URL 是什么将该 URL作为 FLAG 提交 FLAG（形式：flag{xxxx.co.xxxx/w0ks//?YO=xxxxxxx}） (无需 http、https)；

解题思路

（1）. 首先下载附件hacker1.pacapng，发现后缀为“.pacapng”,将他放入wireshark中查看流量信息

（2）. 根据题目中所说恶意程序访问了内嵌 URL 获取了 zip 压缩包，于是我们对流量进行筛选过滤，通过url访问下载的，所以我们过滤http协议。

我们可以发现有三条访问的请求和响应数据包

（3）. 首先我们查看第一条访问

可以看到返回状态码是200，是响应成功的。查看响应包

Content-encoded entity body (gzip): 182 bytes -> 197 bytes 表示响应包进行了gzip压缩，但是在响应包中我们没有发现有zip文件

再往下看发现Line-based text data: text/html (1 lines)

Line-based text data: text/html (1 lines)：也就是服务器向我们电脑浏览器发动的网页的内容，这是我们浏览器也就是应用层接收到的数据

可以看到网页的内容是指向另一个url，并且通过他的js代码分析

<script>
    function red(){ 
    	window.location.href = document.getElementById("url").getAttribute("data-url") 
	}setTimeout(red,3000);
</script>

表示是每等待3秒钟，然后根据页面中 id 为 "url" 的元素的 data-url 属性，将页面重定向到相应的 URL。

（4）. 查看关于这个url的响应包

可以看到响应包中指出文件名为TD.zip

并且我们可以发现返回的数据data大小

根据数据的文件头为PK可以知道为zip类型的文件，确定最终的url路径“tsdandassociates.co.sz/w0ks//?YO=1702920835”

flag{tsdandassociates.co.sz/w0ks//?YO=1702920835}

补充常见的文件头

文件头（也称为文件签名或魔数）是文件开头的一段特定字节序列，用于标识文件类型。
常见的图片文件头

压缩文件
ZIP: 50 4B 03 04（对应ASCII为 PK）

位图（Bitmap）
BMP: 42 4D（对应ASCII为 BM）

图像交换（Interchange）
GIF: 47 49 46 38（对应ASCII为 GIF8）

JPEG文件
JPEG: FF D8 FF

便携式网络图形（Portable Network Graphics）
PNG: 89 50 4E 47 0D 0A 1A 0A（对应ASCII为 .PNG....）