写在前面的话:参考了大佬们的做法以及一些技巧,如有错误,还向各位大佬学习。
文件地址:链接:https://pan.baidu.com/s/1zE5Fi7CcgJTHwP_z9jpuNA?pwd=ii9b
提取码:ii9b
--来自百度网盘超级会员V3的分享
这是一道基础的流量分析的题组,有助于入门选手初步了解流量分析的做法以及一些解题的技巧。
1:通过对流量包attack进行分析,该数据流量包的sha1的是多少?(格式填写小写字母与数字组合 如abc23dedf445)
只需打开统计捕获文件属性会出现自动分析,大部分基础数据便能体现。
SH1便可轻松获得
2:通过对流量包attack进行分析,捕获第一个数据报文的时间是?(格式按年-月-日 填写 如:yyyy-mm-dd 如2000-01-23)
如上图,第一个分组以及最后一个。
3.通过对流量包attack进行分析,捕获流量包时使用的接口数量(格式填写数字 如:10)
通过观察,接口数量为“未知”。
4,5:这两一起说
4:通过对流量包attack进行分析,获取被攻击的服务IP是多少?(格式数字与.组合填写 如:10.10.1.1)
5:通过对流量包attack进行分析,得知攻击者IP是多少?(格式数字与.组合填写 如:10.10.1.1)
观察来源与目的地两列,很容易发现常出现的ip地址,但是有些时候有问题,但是我们直接搜就很方便。
- 使用过滤条件来查找攻方IP。可以使用以下过滤条件之一:
ip.src == 攻方IP地址
:筛选出源IP地址为攻方IP的数据包。ip.dst == 攻方IP地址
:筛选出目标IP地址为攻方IP的数据包。ip.addr == 攻方IP地址
:筛选出源或目标IP地址为攻方IP的数据包
- 简单发现,有59和189两种简单发现攻击者为59,被攻击者为159
6通过对流量包attack进行分析,得知黑客使用的扫描器是?
通常,扫描机种类
常见的 WEB 扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,
WebReaver,Sqlmap等。要识别攻击者使用的是哪一种扫描器,可通过wireshark筛选扫描器特征来得知.
//常见的扫描器特征参考: https://www.77169.net/html/259708.html
这句过滤语句看流量很方便
http and urlencoded-form
也可以用
http contains "特征值"
6。通过对流量包attack进行分析,得到黑客对服务器网站扫描到的登录后台是:(格式填写相对路径 ,使用小写字母、 / 和其他字符组合 如: /www/wwwroot)
这里可以通过继续通过查找特征值找到目标点。容易发现
/admin/login.php?rec=login
7.通过对流量包attack进行分析,得知黑客使用什么账号密码进行登录网站后台?(格式填写小写字母 、数字、 / 、其它字符组合 如:username/password)
同样,对于账号密码也一眼出
思路二:黑客对于后台访问,通常用post形式(仔细了解post 与get区别)。继续资源检索。
http.request.method =="POST"
同理易得.
8.通过对流量包attack进行分析,得知黑客使用什么账号密码进行登录网站后台?(格式填写小写字母 、数字、 / 、其它字符组合 如:username/password)
这道题做得不是很清楚,反正就是知道了有多个302重定向,
这里我们把过滤再仔细一点,确定黑客的IP地址:
htp.request.method =="POST" && http contains "rec=login" && p.src == 192.168.94.59
然后按照时间排序,最后一个就是黑客使用的账号和密码:
admin/admin!@#pass123
找到“admin项目”关键。更多可参考大佬b3nguang写的详细讲解。
4)某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交 webshell 的内容.
9.通过对流量包attack进行分析,得到黑客第一次上传的webshell文件名是什么?(格式填写小写字母、数字、 .组合 如:user.js或者user.php )
解题思路:一般来说 webshell 都是一句话木马,直接搜
http contains "<?php @eval"
这个模板语句真的好用
但是,这里好像不能用,我显示的是0条筛选信息,大佬们有不一样的留言分享。
然后又借鉴了 wang 的blog,
去查看原来的筛选信息,从后往前找,可以发现有php,一眼出。
10.通过对流量包attack进行分析,黑客在robots.txt中找到的flag是什么?(格式填写小写字母与数字组合 如:ab6767gdgd9870)
找flag
11.通过对流量包attack进行分析,捕获这些数据报文的一共时间是?(格式 按小时:分:秒 填写 如:hh:mm:ss 如00:01:23)
搜索捕获文件属性一眼初
12.通过对流量包attack进行分析,HTTP Request Packets占总的HTTP Packets百分比多少?(格式填写数字、. % 组合 如:11.11% 百分比保留小数点后二位)
这题就很假,找准确数,就只能仔细找,肯定能找到
13.通过对流量包attack进行分析,已提取出黑客之前曾经从数据库服务器盗取的数据文件hack.jpg,对其分析,得知该文件一共包含几个数据表?(格式填写数字 如:1)
放zip打开看看找到business,再用code打开
差不多发现为sql文件,直接搜data,即发现有8个表。
(这里早起王标准简答2022HZWA(流量部分)_15通过对流量包attack进行分析,已提取出黑客之前曾经从数据库服务器盗取的数据文-CSDN博客)
14.接上题customername为Singal Gift Stores的电话号码为?(格式填写数字 如:1112222222)
一眼初