1、题目简介

1.1 背景介绍

汤姆打开Windows笔记本电脑，连接SOC的wifi，开始在线研究猎枪。没过多久，他的计算机就触发了一些可疑网络活动的警报。在这些警报之后，他的笔记本电脑崩溃了。

您检查了汤姆的计算机，很快发现了一个可疑的注册表项。看起来像是Goofus感染了他的笔记本电脑。注册表中引用的文件的SHA 256哈希为d16ad130daed5d4f3a7368ce73b87a8f84404873cbfc90cc77e967a83c947cd2

您可以使用Snort注册规则集访问Snort警报。您还可以使用EmergingThreats免费规则集访问Suricata警报。

1.2 题目链接

https://cyberdefenders.org/blueteam-ctf-challenges/57

2、题目解析

2.1 受害者的 IP 地址是什么

1.通过在wireshark中查看会话状态

开始网络分析的一个好地方是了解哪些主机在数据包捕获中进行通信，打开wireshark选择【统计】--【会话】，查看TCP会话状态。查看会话状态为10.1.25.119和10.1.25.1为内网IP地址

根据查看2个内网IP地址通信信息，发现10.1.25.1为DHCP服务器,确定受感染的IP地址为：10.1.25.119

2.2.受害者的主机名是什么

通过查询Netbios名称获取主机名称,主机名称为：TURKEY-TOM

NBNS

2.3.漏洞利用工具包名称是什么

使用网络分析工具NetworkMiner查看下载文件包括WORD、PDF、SWF、EXEC文件，只发现有SWF文件

使用VT进行查杀分析，查看有告警

2.4 提供漏洞利用的IP地址是什么

查看下载地址为：162.216.4.20

2.5 用于指示Flash版本的HTTP标头是什么

根据提供的数据帧头序号为10960

在wireshark中搜索该序号frame.number == 10960

追踪HTTP流获取到字段为x-flash-version

2.6 重定向到提供漏洞利用的服务器的恶意URL是什么

通过在Brim进行查询HTTP流量，并基于主机进行排序，查看重定向的恶意URL是一段JS脚本

http://solution.babyboomershopping.org/respondents/header.js

_path=="http" | sort host

2.7 与用于将受害者重定向到漏洞利用服务器的技术对应的CAPEC ID是什么？更多信息请访问capec.mitre.org

通过搜索header.js文件，查看到数据帧的序号为10552

通过在wireshark中查看frame.number == 10552查找对应的数据包信息

查看在JS文件中使用iframe进行重定向

通过iframe技术进行搜索capec id确定值为：CAPEC-222

2.8 受感染网站的FQDN是什么

通过在上个数据包中查看http请求中的referer信息获取到值为：http://www.shotgunworld.com/

2.9 受感染的网站包含将用户重定向到另一个网站的恶意js,传递给document.write函数的变量名是什么

在 Network Miner中过滤shotgunworld.com域，然后查找js对象得到变量名称为OX_7f561e63

2.10 在机器上发现的恶意软件的编译时间戳是多少？格式：YYYY-MM-DD hh:mm:ss

根据题目提示的获取文件MD5值在VT上进行查找，获取到创建时间