gigstnto/wireshark-pcap-analysis-WebStrike-CyberDefenders

# 🦈 Wireshark PCAP 分析：WebStrike (CyberDefenders) ## 📌 项目概述 本项目包含了基于 CyberDefenders 平台“WebStrike”挑战的网络安全事件调查文档。主要重点是使用 Wireshark 进行**网络取证**，以分析基于 Web 的攻击，识别攻击者特征，并了解 *post-exploitation* 活动。 ## 🛠️ 实验环境 进行此分析所使用的工作环境包括： - **网络分析工具：** Wireshark - **操作系统：** Linux - **文档：** Markdown (GitHub) - **数据集：** `WebStrike.pcap`（网络流量日志） ## 📂 仓库结构 ``` ├── Analysis/ │ ├── Incident-Timeline.md │ ├── Post-Exploitation.md │ ├── Web-Attack-Analysis.md │ └── Wireshark-Filters.md ├── Evidence/ │ ├── attacker_info.jpg │ ├── reverse_shell_exfiltr.jpg │ ├── trackIP.jpg │ └── webshell_upload.jpg ├── IOC/ │ └── Indicators.md ├── Lab-setup/ │ └── Infrastructure-Setup.md └── README.md ``` ## 🕵️ 分析总结 ### 1. 事件时间线 调查从识别来自外部 IP 的可疑活动开始。事件顺序简述如下： - **侦察：** 攻击者扫描了 Web 目录。 - **漏洞利用：** 成功上传了 webshell `image.jpg.php`。 - **命令与控制：** 在端口 8080 上开启了 Reverse Shell（反向 Shell）连接。 - **数据渗出：** 尝试窃取敏感数据 `/etc/passwd`。 ### 2. 攻击者特征 | 字段 | 值 | |---|---| | IP 地址 | 117.11.88.124 | | 地理位置 | 中国天津市 | | User-Agent | Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0 | ## 🚀 关键要点 - 在上传表单中验证文件扩展名的重要性（防止**双扩展名绕过**）。 - 监控异常的出站连接可以检测到 Reverse Shell 的存在。 - 分析 **Follow TCP Stream** 对于查看攻击者在终端中输入的内容至关重要。

标签：CISA项目, CyberDefenders, HTTP工具, Markdown, PCAP分析, Webshell, WebStrike, Web安全, Wireshark, Writeup, 双扩展名绕过, 反弹Shell, 句柄查看, 安全事件响应, 安全实验室, 密码管理, 库, 应急响应, 攻击溯源, 数据窃取, 文件上传漏洞, 网络信息收集, 网络安全, 网络安全审计, 蓝队分析, 防御加固, 隐私保护