文章目錄分類

文章目錄

文章同步發表於medium(推薦)

https://medium.com/blacksecurity

網路管理

• Cisco

[Cisco] 流量側錄功能-SPAN (Mirror port)
[Cisco] Router 與 Layer 3 Switch 簡易比較
[Cisco] RIP、EIGRP、OSPF簡易比較
[Cisco] Load balancing 與 Load sharing 比較
[Cisco] 架設 DHCP Server 派發IP概念

資安題目Write-up

• 滲透測試 (Penetration Test, PT) 

[Hack the box]Bastion  write -up 解法

[Root me] FTP - authentication Write-up  解法

[Tryhackme] OhSINT  write-up 解法

Root me — Cisco Password Decryption Write-up

書籍閱讀

• 專案管理

[讀書心得]目標管理的力量:自我與人生管理

[讀書心得]目標管理的力量:目標管理

[讀書心得]關於人生的7項財務思考：7堂一定要懂的理財投資×人生規劃必修課

 [讀書心得]投資金律 — 建立獲利投資組合的四大關鍵和十四個關卡

解憂咖啡館 — 咖啡的溫度也是人性的溫度 讀後感

資訊安全

• 資安法令法規

[資訊安全]金融業資訊安全技術法規要求簡介
網路安全封包分析:Wireshark 快速判斷IP位置並找出可疑程式 — 使用GeoLite2

證照筆記

• TBD

財務金融

• 股票

金融股票九大指標一次搞懂-殖利率/EPS/ROA與ROE/本益比PER/ PBR 股價淨值比
K線應用與買賣時機，一出手就賺錢 — K線日記雜誌筆記

電腦雜症

• 軟體

卡巴斯基強制移除工具

在Windows10解決Outlook2016下Excel無法預覽啟用

硬體

• Arduino

Arduino實作 - 光敏電阻小夜燈

Arduino實作 - LED跑馬燈

Arduino實作 - 輕觸開關與控制LED亮滅

如何在WINDOWS8底下安裝Arduino驅動程式

遊戲

• 動作冒險

《WatchDogs-看門狗》

Root me — Cisco Password Decryption Write-up

這題是解出Cisco 設備的Config 密碼

題目Link:

https://www.root-me.org/en/Challenges/Network/CISCO-password

原文:https://medium.com/blacksecurity/root-me-cisco-password-decrypt-write-up-3b4beb890a76

因為Cisco 內密碼加密的方式是可逆的，來看一下Config一小段內容:

hostname rmt-paris
!
security passwords min-length 8
no logging console
enable secret 5 $1$p8Y6$MCdRLBzuGlfOs9S.hXOp0.
!
username hub password 7 025017705B3907344E
username admin privilege 15 password 7 10181A325528130F010D24
username guest password 7 124F163C42340B112F3830

我們可以將password 丟去線上解鎖看看

Cisco Password Cracker

Javascript tool to convert Cisco type 7 encrypted passwords into plain text so that you can read them. This is done…

www.ifm.net.nz

得到結果如下:

1. hub:6sK0_hub
2. admin:6sK0_admin
3. guest:6sK0_guest

所以猜的到答案應該是

6sK0_enable

---

也歡迎繼續閱讀:

網路安全封包分析:Wireshark 快速判斷IP位置並找出可疑程式 — 使用GeoLite2

CTF Write-up 滲透測試系列

https://medium.com/blacksecurity/tagged/ctf

資訊安全系列

https://medium.com/blacksecurity/tagged/information-security

網路管理系列

https://medium.com/blacksecurity/tagged/network

財務金融系列

https://medium.com/blacksecurity/tagged/finance

資安工作者的學習手記

非專業全職寫手，只是希望透過紀錄所學的知識來回饋於社群上，互相學習分享。並歡迎加入Linkedin人脈圈。文章所述之內容皆為個人立場。Medium文章目錄https://kuronetwork.github.io/blacksecurity/

• Ctf
• Root Me
• Hackthebox
• Tryhackme
• Pentesting

網路安全封包分析:Wireshark 快速判斷IP位置並找出可疑程式 — 使用GeoLite2

使用GeoLite2資料庫幫助Wireshark 快速判斷IP的所在位置，並利用Windows PID找出惡意程式。

原文:https://medium.com/blacksecurity/securityanalysiswithwireshark1-51b4a54ba483

使用GeoLite DB判斷IP地理位置

---

對於Wireshark 維基百科的介紹:

Wireshark是一個免費開源的網路封包分析軟體。網路封包分析軟體的功能是截取網路封包，並盡可能顯示出最為詳細的網路封包資料。

不過會看這篇文章的大概對網路都有一點概念了。

Wireshark 3.0.6介面

下載點:

https://www.wireshark.org/download.html

---

安裝地理位置資訊資料庫-GeoLite2

安裝過程就不贅述，這邊想介紹一個方便的資料庫，可以將攔截到的封包快速判斷出國家、公司等地理資訊位置。

(這邊Wireshark後面的Country、City、AS NUMBER 預設都是空的)

使用GeoLite DB判斷IP地理位置

下載 GeoLite2 Free Downloadable Databases

https://dev.maxmind.com/geoip/geoip2/geolite2/

MaxMind DB

這邊要下載三個檔案，格式為MaxMind DB，不要下載到CSV Format:

1. City
2. Country
3. AS Number (網路管理者會知道AS Number在網路世界的用處 這裡不贅述)

---

安裝

檔案下載後會有三個壓縮檔，我們分別將檔案解壓縮到你需要的位置

這邊範例放在 :

C:\GEO

GEOLite 資料庫

開啟Wireshark ，點選左上的Edit->Preferences

Name Resolution ->MaxMind Database Directories

將解壓縮後的路徑選到資料庫內，切記必須選到子目錄(選GeoLite2-XXXXX)

---

實際使用

首先我想先改一下Wireshark的時間顯示

對著Time選右鍵->Edit Column->Type選Absolute date, as YYYY-MM-DD and time

這樣看起來比較順眼，而且比較好看。

接著請自己錄製一段封包後按暫停，並點選上方的 Statistic ->Endpoint

選擇統計->Endpoint

統計後表格

這邊可以判斷幾個資安的議題:

1. Country : 是否有不應該的國家出現。
2. AS Number可以判斷公司 ，可學習CCNA認證會比較清楚
3. Address也幫你統計出來了，這樣篩選判斷更快

補充:

一開始錄製封包時候可以先設定將廣播與群播濾掉，避免太多垃圾資訊

回到封包分析，來過濾想看到的資料，對想要的IP資訊右鍵

Apply as Filter->Selected ,

反之Not Selected 是除了這個以外都要

這邊用錄到的Netskope這個軟體連線來舉例:

Endpoint-> Apply as Filter->Selected

過濾完後回到主畫面就會跑出相關的IP

看一下上面篩選的指令為:

ip.addr==103.219.79.35

這裡是將有關IP給篩出來，而不是只有Source或Destination 

黑色底代表封包有些問題，像是Bad TCP或一些狀態改變

常見的綠色:HTTP 明碼或利用一些手段解析加密流量後的HTTP2、UDP是淺藍色、加密的流量TLS是紫色、淺黃色是SMB(網路芳鄰等)

Coloring Rules

補充: SMB指令判斷封包異常

ip.src == 192.168.1.0/24 and (tcp.port in {139 445} or udp.port in {135 136 137 138})and not ip.dst == 192.168.1.0/24

ip來源為192.168.1.0/24下，ip是TCP的139 445 port 或 UPD的135–138 port 都要包含 ，並排除目的地是192.168.1.0/24(內網)

因為SMB對外傳輸資料可能有問題，所以這邊將可能走的Port找出來並排除往內網發送資訊的封包，減少不必要的訊息。

---

追蹤IP的PID

終於找到了這個封包，讓我們來看一下我們的電腦他的Process位置

使用CMD的指令(包含了Windows Process 的 PID )

netstat -ano -p tcp

netstat — h

我們輸入完指令後，會看到現在Windows上建立的連線如圖:

Source : 192.168.144:26780 (IP+Port)

對象是103.219.79.25並走443 port 出去 (https)

在系統上PID為5328

---

追蹤程式在何處

那接下來看一下我們工作管理員，我對狀態選右鍵，打開PID與命令列

找到對應的PID，並找到程式的位置

其實這是一隻合法的惡意程式XD

專門來監控電腦活動的一套軟體

https://www.netskope.com

---

Summary

Wireshark 對於資安人員分析ARP、PortScan、SQL injection、SMB Attack(勒索軟體)都可以輕易地做到，並做出判斷。

封包分析這塊領域就要推一下封包大神劉德民，從C++、組合語言到資料庫、網路封包的分析經驗真的很厲害。

---

若您喜歡我的文章，歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔)，或是「Follow」我，讓我提供文章給您。

也歡迎繼續閱讀:

網路管理系列

https://medium.com/blacksecurity/tagged/network

CTF Write-up 系列

https://medium.com/blacksecurity/tagged/ctf

財務金融系列

https://medium.com/blacksecurity/tagged/finance

資安工作者的學習手記

非專業全職寫手，只是希望透過紀錄所學的知識來回饋於社群上，互相學習分享。並歡迎加入Linkedin人脈圈。文章所述之內容皆為個人立場。Medium文章目錄https://kuronetwork.github.io/blacksecurity/

• Wireshark
• Cybersecurity
• Network
• Information Security