关于对早起王分享流量讲座的一点新得与笔记

写在前面的话：参考了大佬们的做法以及一些技巧，如有错误，还向各位大佬学习。

文件地址：链接：https://pan.baidu.com/s/1zE5Fi7CcgJTHwP_z9jpuNA?pwd=ii9b 
提取码：ii9b 
--来自百度网盘超级会员V3的分享

这是一道基础的流量分析的题组，有助于入门选手初步了解流量分析的做法以及一些解题的技巧。

1：通过对流量包attack进行分析，该数据流量包的sha1的是多少？（格式填写小写字母与数字组合  如abc23dedf445）

只需打开统计捕获文件属性会出现自动分析，大部分基础数据便能体现。

SH1便可轻松获得

2：通过对流量包attack进行分析，捕获第一个数据报文的时间是？（格式按年-月-日  填写  如：yyyy-mm-dd 如2000-01-23）

如上图，第一个分组以及最后一个。

3.通过对流量包attack进行分析，捕获流量包时使用的接口数量（格式填写数字    如：10）

通过观察，接口数量为“未知”。

4，5：这两一起说

4：通过对流量包attack进行分析，获取被攻击的服务IP是多少？（格式数字与.组合填写  如：10.10.1.1）

5：通过对流量包attack进行分析，得知攻击者IP是多少？（格式数字与.组合填写  如：10.10.1.1）

观察来源与目的地两列，很容易发现常出现的ip地址，但是有些时候有问题，但是我们直接搜就很方便。

1. 使用过滤条件来查找攻方IP。可以使用以下过滤条件之一：
   • ip.src == 攻方IP地址：筛选出源IP地址为攻方IP的数据包。
   • ip.dst == 攻方IP地址：筛选出目标IP地址为攻方IP的数据包。
   • ip.addr == 攻方IP地址：筛选出源或目标IP地址为攻方IP的数据包
2. 
3. 简单发现，有59和189两种简单发现攻击者为59，被攻击者为159

6通过对流量包attack进行分析，得知黑客使用的扫描器是？

通常，扫描机种类

常见的 WEB 扫描器有Awvs，Netsparker，Appscan，Webinspect，Rsas(绿盟极光)，Nessus，
WebReaver,Sqlmap等。要识别攻击者使用的是哪一种扫描器，可通过wireshark筛选扫描器特征来得知.
//常见的扫描器特征参考: https://www.77169.net/html/259708.html

这句过滤语句看流量很方便

http and urlencoded-form

也可以用

http contains "特征值"

6。通过对流量包attack进行分析，得到黑客对服务器网站扫描到的登录后台是：（格式填写相对路径 ，使用小写字母、 /  和其他字符组合   如：  /www/wwwroot）

这里可以通过继续通过查找特征值找到目标点。容易发现

/admin/login.php?rec=login

7.通过对流量包attack进行分析，得知黑客使用什么账号密码进行登录网站后台？（格式填写小写字母 、数字、 / 、其它字符组合   如：username/password）

同样，对于账号密码也一眼出

    思路二：黑客对于后台访问，通常用post形式(仔细了解post 与get区别)。继续资源检索。

http.request.method =="POST"

同理易得.

8.通过对流量包attack进行分析，得知黑客使用什么账号密码进行登录网站后台？（格式填写小写字母 、数字、 / 、其它字符组合   如：username/password）

这道题做得不是很清楚，反正就是知道了有多个302重定向，

这里我们把过滤再仔细一点，确定黑客的IP地址:
htp.request.method =="POST" && http contains "rec=login" && p.src == 192.168.94.59
然后按照时间排序，最后一个就是黑客使用的账号和密码:
 admin/admin!@#pass123

找到“admin项目”关键。更多可参考大佬b3nguang写的详细讲解。

4）某公司内网网络被黑客渗透，请分析流量，得到黑客上传的webshell文件名是，内容是什么，提交 webshell 的内容.

9.通过对流量包attack进行分析，得到黑客第一次上传的webshell文件名是什么？（格式填写小写字母、数字、 .组合   如：user.js或者user.php ）

解题思路:一般来说 webshell 都是一句话木马，直接搜

http contains "<?php @eval"

这个模板语句真的好用

但是，这里好像不能用，我显示的是0条筛选信息，大佬们有不一样的留言分享。

然后又借鉴了 wang 的blog，

去查看原来的筛选信息，从后往前找，可以发现有php，一眼出。

10.通过对流量包attack进行分析，黑客在robots.txt中找到的flag是什么？（格式填写小写字母与数字组合   如：ab6767gdgd9870）

找flag

11.通过对流量包attack进行分析，捕获这些数据报文的一共时间是？（格式 按小时:分:秒  填写  如：hh:mm:ss 如00:01:23）

搜索捕获文件属性一眼初

12.通过对流量包attack进行分析，HTTP Request Packets占总的HTTP Packets百分比多少？（格式填写数字、.  % 组合   如：11.11% 百分比保留小数点后二位）

这题就很假，找准确数，就只能仔细找，肯定能找到

13.通过对流量包attack进行分析，已提取出黑客之前曾经从数据库服务器盗取的数据文件hack.jpg，对其分析，得知该文件一共包含几个数据表？（格式填写数字  如：1）

放zip打开看看找到business，再用code打开

差不多发现为sql文件，直接搜data,即发现有8个表。

（这里早起王标准简答2022HZWA(流量部分)_15通过对流量包attack进行分析,已提取出黑客之前曾经从数据库服务器盗取的数据文-CSDN博客）

14.接上题customername为Singal Gift Stores的电话号码为？（格式填写数字    如：1112222222） 

一眼初