标签：11 malware HTTP EK 恶意代码 感染 漏洞 域名 IP

流量包下载

题目：

第 1 级问题：
1) 被感染的 Windows 虚拟机的 IP 地址是多少？
2) 被感染的 Windows 虚拟机的主机名是什么？
3) 受感染虚拟机的 MAC 地址是多少？
4) 受感染网站的 IP 地址是什么？
5) 被入侵网站的域名是什么？
6)提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么？
第 2 级问题：
1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么？
2) 除了登陆页面（其中包含 CVE-2013-2551 IE 漏洞），EK 还发送了哪些其他漏洞？
4) 有效载荷交付了多少次？
5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么？

解题：
1，感染IP

2，感染主机名
可以直接搜索，也可以用dhcp.option.hostname精准定位，能出现这样字段的协议还有nbns/http/kerberos
3，感染主机的MAC地址
一样的过滤出DHCP包搜索MAC address
也可用以下方法
4，受感染网址的IP地址是？
82.150.140.30
5，受感染的域名是？
既然是域名那肯定是HTTP了，往上看，第一个HTTP的包是必应的域名，应该用来收集信息的

再往下看发现还是第三个问题的点，域名是

6，提供漏洞利用工具和软件的IP地址和域名是？
还是IP地址和域名，还提到了工具，先导出HTTP对象看一下有什么可疑对象
这些图片倒是没什么，可疑的是这些名字很长的文件，看包序和域名

得到域名：stand.trustandprobaterealty.com
IP：37.200.69.143
第 2 级问题：

1. 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么？
   既然是重定向那还是HTTP的包，
   可以看到过滤出HTTP的包后，188这个IP地址首次出现是在包序981一直到1356，且看到确实有域名，应该就是它了，域名：http://24corp-shop.com/
   追踪HTTP流
   

2. 除了登陆页面（其中包含 CVE-2013-2551 IE 漏洞），EK 还发送了哪些其他漏洞？
   HTTP导出，x-modownload是IE漏洞，还找到了一个flash和java的，但是具体不知道是什么漏洞，提取出来先
   提取出来后丢到微步沙箱识别一下，java类型为CVE-2012-0527
   flash为CVE-2014-0569
   都检测了一遍就只有这两个是

3，有效载荷交付了多少次？
三次，且追踪HTTP流时发现是payload是加密过的 5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么？
这一题，完全不知道点哪里，只能贴一张这个了第三大题
1，检查我的网站，我（和其他人）称这个漏洞利用工具包是什么？

2，受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本？

说是网站，直接过滤出HTTP，看到这个82.150首次出现，追踪一下http流，发现了一大串东西，重定向的页面也在，应该就是它了，


3) 提取漏洞利用文件。md5 文件哈希是什么？
将刚刚提取出来的文件丢到微步沙箱就可以得到哈希值了

标签：11,malware,HTTP,EK,恶意代码,感染,漏洞,域名,IP
来源： https://blog.csdn.net/weixin_46578840/article/details/121094496

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。