1.登录FTP下载数据包文件infiltration.pacapng,找出恶意用户的IP地址,并将恶意用户的IP地址作为Flag(形式:[IP地址])提交;
这种题目有一个简单的方法,直接点开视图>着色规则>TCP SYN/FIN>应用为过滤规则,就可以很简单的看到恶意用户发起的握手包
Flag:192.168.90.138
2.分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交;
现在知道了恶意用户的IP地址只需要在上一题的过滤规则前面加上ip.dst==192.168.90.138 and,这样就可以再过滤目标地址为恶意用户的包(就是服务器返回的包),然后全部翻一遍就可以知道扫描了拿一些地址
Flag:[23,80,443]
3.恶意用户最终获得靶机的密码是什么,并将密码作为Flag(形式:[用户名]);
这一题直接CTRL+F搜索pass等字符串,然后找到有telnet的数据包
然后直接过滤telnet协议,直接找最大的包,发现两个并列最大的
直接一个一个追踪数据流看,
第一个明显不是服务器的而是kali的,那就是第二个win2008的了
Flag:YwQgj8eN
4.找出目的不可达的数据数量,并将目的不可达的数据数量作为Flag(形式:[数字])提交;
这题没有思路是固定操作 。
复制这个过滤规则(直接CTRL+c就可以复制)然后点统计>IPv4 Statistics>IP Protocol Types
刚刚复制的东西直接粘贴到下面显示过滤器这里,点应用,就显示出来了
Flag:154
5.分析出恶意用户使用的最后一个一句话木马的密码是什么,并将一句话密码作为Flag(形式:[一句话密码])提交;
直接过滤http contains"@eval"然后有很多个木马,题目上说最后一个,那直接看到最后一个
Flag:hope
6.分析出被渗透主机的服务器系统OS版本全称是什么是,并将OS版本全称作为Flag(形式:[服务器系统OS版本全称])提交;
这个在之前找密码哪里出现过
Flag:Microsoft Windows Server 2008 R2 Standard1