wirehark数据分析与取证flag.pcap

已于 2024-01-17 15:54:15 修改
阅读量1.6w 收藏 81
点赞数 30
分类专栏: 数据包分析 文章标签: wireshark 数据分析 网络安全
于 2021-04-18 20:11:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aluxian_/article/details/115837455
版权

什么是wireshark?

wiresharek

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

wireshark的介绍:

假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。

flag.pcap数据包

1.通过分析flag.pcapng数据包文件找到黑客的IP地址,并将黑客的IP地址作为Flag值(如:172.16.1.1)提交;

直接筛选arp协议

在这里插入图片描述

flag:10.0.0.129

2.通过分析数据包文件flag.pcapng分析出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试,将服务对应的端口依照从小到大的顺序依次排列作为Flag值(如:77/88/99/166/1888)提交;

打开过滤框输入 ip.addr == 10.0.0.129

在这里插入图片描述
在这里插入图片描述
题目说的暴力破解,黑客分别对20,21,80,3306做了请求,但是这里的20端口是ftp的服务端是用来传输数据的,80端口的话只是上传了文件并没有进行暴力破解,这里应该只有21和3306

flag:21,3306

3.通过分析数据包文件flag.pcapng分析黑客扫描后可能直接对目标服务器的某个服务实施了攻击,继续查看数据包文件flag.pcapng分析出黑客成功破解了哪个服务的密码,并将该服务的版本号作为Flag值(如:5.1.10)提交;

这个简单我们直接筛选mysql协议,右键追踪tcp数据流

在这里插入图片描述
在这里插入图片描述

flag:5.1.73

4.通过分析数据包文件flag.pcapng,将黑客通过数据库写入了木马,将写入的第二个木马名称作为Flag值提交(名称不包含后缀);

通过题目是从数据库上传的筛选MySQL协议

在这里插入图片描述
在这里插入图片描述

flag:shell1.php

5.通过分析数据包文件flag.pcapng,黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交;
在这里插入图片描述

flag:cmd

6.通过分析数据包文件flag.pcapng,找出黑客连接一句话木马后查看了什么文件,将黑客查看的文件名称作为Flag值提交;

这个时候我们就需要筛选http协议来看使用的命令了

在这里插入图片描述

flag:flag.txt

7.通过分析数据包文件flag.pcapng,找出黑客已经获取到目标服务器的基本信息,请将黑客获取到的目标服务器主机名作为Flag值提交;

NetBIOS协议详解:
提供一个思路:我们进行过滤nbns数据包后进行追踪udp数据流可以得到主机名,WINS服务器解析(NBNS数据包),WINS服务器用于登记记录计算机NetBIOS名称和IP地址的对应关系,供局域网计算机查询。所以黑客使用工具nbtscan进行扫描的。

8.通过分析数据包文件flag.pcapng,黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透,成功破解出服务的密码后登录到服务器中下载了一张图片,将图片文件中的英文单词作为Flag值提交;

直接进行过滤ftp-data包,追踪tcp流,显示和保存数据为原始数据然后save as导出保存为图片格式即可。

在这里插入图片描述

flag:flag{my_falg}

数据包下载 请私信博主

最后祝大家每天开心,希望对大家有所帮助!

落寞的魚丶
关注
  • 30
    点赞
  • 81
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 12
    评论
专栏目录
pop3.pcap_pop3.pcap_
10-02
分析“pop3.pcap文件,我们可以看到上述各个步骤的实际网络流量,包括TCP序列号、确认号、数据长度等网络层信息,以及应用层的命令和响应。这对于理解POP3协议的工作原理,排查邮件接收问题,或者检测潜在的安全...
hello_hacker.pcapng
03-26
这个就想大家解下,感觉超简单的题,就是不知道怎么找到flag
B.pcap流量分析解析.docx
09-23
中职学校技能比赛 网络安全 网络空间安全 数据流量分析 B.pcap 解析
【电子取证Wireshark教程:从流量包中导出文件
最新发布
longxintec的博客
06-04 1465
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件,使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析中,往往需要从获取到的流量包中导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件—导出对象—SMB,就可以导出SMB流量中的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
网络数据流逆向分析“潜逃之谜.pcap文件
09-12
利用 WinHex、Wireshark 等工具,逆向分析“潜逃之谜.pcap文件,根据 案件描述找到案件调查线索,理解并掌握基于 Wireshark 的网络数据流分析方法。
wireshark数据包分析 中职网络安全
zx66661的博客
03-08 7894
使用Wireshark查看并分析PYsystemWH1桌面下的captureWH.pcapng数据包文件,找出黑客获取到的可成功登录目标服务器FTP的账号密码,并将黑客获取到的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交; 扫描靶机可知靶机是windows7,我们可用ms17-010漏洞 设置完成,攻击靶机 格式:For /r (磁盘C:\) %i in (*.后缀) do @echo %i /r 搜索磁盘 in:在 *:全...
flag.pcapng解析.docx
01-13
数据分析取证;流量分析
强国杯半决赛东部赛区部分wp
m0_63525319的博客
10-24 2166
本次成绩不错,成功进入决赛,接下来继续努力!
B.pcap解析
qq_59656429的博客
12-04 1010
分析B.pcapng数据包,找到hacker通过一句话木马从服务器上下载的文件,并将文件的内容作为flag提交.通过分析B.pcapng,找到黑客通过一句话木马上传了什么文件,将文件名作为flag提交.通过分析B.pcapng,找到黑客扫描到的主机的ip是多少将该ip作为flag提交。分析B.pcapng,找到数据库里flag最后一个字符.将该字符作为flag提交.通过分析B.pacpng包找到服务器内核版本,将该版本作为flag提交.继续分析B.pcapng数据包,找到黑客扫描网段的命令.
wireshark流量分析网络安全
夜思红尘的博客
04-18 3251
这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!
CTF-Misc-wireshark软件解题的基本使用与操作;
半岛铁盒的博客
11-20 3344
软件的下载 大家可以参考我的另一篇博客:https://blog.csdn.net/weixin_45556441/article/details/109864690 软件的使用 本人以CTF查找flag的形式进行说明; 操作1:查找flag 快捷键Ctrl+F注意箭头的参数; 点击查找,有时候要多点几次才能查找到关键信息; 操作2:看信息栏 操作三,根据信息栏进一步得到关键信息 采用追踪流的形式进一步查看; * 快捷键 Ctr+O 文件打开 Ctrl+W 关闭文件 Crl+S 保存 Shift+Ctrl+
hacker.pcapng解析
qq_59656429的博客
11-29 1445
1.从靶机服务器的 FTP 上下载 hacker.pcapng 数据包文件,通过分析数据包 hacker.pcapng 找出黑客的 IP 地址,并将黑客的 IP 地址作为 FLAG(形式:[IP 地址])提交;2.继续查看数据包文件 hacker.pacapng,分析出黑客扫描得到的靶机开放的端口,将开放的端口号中数字最小的端口作为 FLAG(形式: [端口号])提交;7.继续查看数据包文件 hacker.pacapng,分析出黑客获取的内容,并将获取的内容作为 FLAG(形式: [获取的内容])提交。
B.pcap数据取证分析数据包
04-19
B.pcap数据取证分析数据包
网络空间安全江苏省赛数据分析取证 -attack.pacapng
旺仔Sec&blog
12-22 4079
三、数据分析取证 1. 使用 Wireshark 查看并分析虚拟机 windows 7 桌面下的 attack.pcapng 数据包文件,通 过分析数据包 attack.pcapng 找出黑客的 IP 地址,并将黑客的 IP 地址作为 FLAG(形式:[IP 地址])提交: tcp.connection.syn 通过分析端口,因为黑客都是扫描常用端口的 Flag:[172.16.1.102] 2. 继续查看数据包文件 attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作 为
[CTF]wireshark流量分析-flag明文
Luistin的博客
01-11 1227
1.打开文件 ctrl+F搜索分组字节流的字符串:flag{3.右键flag,点击显示出分组字节可复制粘贴。
CTF Wireshark Test-flag-please-ignore
热门推荐
艺博东的博客
10-06 1万+
文章目录 一、Wireshark 题目附件: 附件1 1、 附件1 链接:https://pan.baidu.com/s/1wHzTvsX3W2nHgqObyeT1vg 提取码:jtbs 2、文件 3、用“Notepad”打开misc10文件 十六进制: 666c61677b68656c6c6f5f776f726c647d 4、16进制转换文本 在线,十六制进制转换文本
CTF攻防世界 Misc高手进阶区 6分题 Wireshark(详细解析)
weixin_66146598的博客
06-07 2508
继续ctf的旅程,攻防世界Misc高手进阶区的6分题,本篇是Wireshark的writeup,发现攻防世界的题目分数是动态的,就仅以做题时的分数为准了。
【ctf】whireshark流量分析之检索篇
一大口木的博客
12-15 495
做ctf流量分析的一些技巧。这是检索篇。
tcpdump生成.pcap
12-23
tcpdump是一个常用的网络抓包工具,可以用于捕获网络数据包并将其保存为.pcap文件。下面是使用tcpdump生成.pcap文件的方法: 1. 安装tcpdump(如果尚未安装): ```shell yum install tcpdump ``` 2. 使用tcpdump抓包并保存为.pcap文件: ```shell tcpdump -i eth0 -w capture.pcap ``` 其中,`-i eth0`表示监听eth0网卡上的数据包,你可以根据实际情况更改为你想要监听的网卡。`-w capture.pcap`表示将抓到的数据包保存为capture.pcap文件。 通过以上步骤,你就可以使用tcpdump生成.pcap文件了。生成的.pcap文件可以使用Wireshark等工具打开,以查看和学习网络通信过程中的各种协议和步骤。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

落寞的魚丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值