1.使用Wireshark查看并分析Windows 7桌面下的attack.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户的IP地址,并将恶意用户的IP地址作为Flag(形式:[IP地址])提交:
http.request.method==POST
Flag:[172.16.1.102]
2.继续查看数据包文件attack.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交:
Ip.src==172.16.1.102 and ip.dst==172.16.1.101 and tcp
①
这样找起来比较麻烦,但也能找出来
②
统计—端点
进行统计后能够更好更直观的看到结果(别忘了显示过滤器的限制)
Flag:[21,23,80,445,3389,5007]
3.继续查看数据包文件attack.pacapng分析出恶意用户最终获得的用户名是什么,并将用户名作为Flag(形式:[用户名])提交:
http contains “login.php”
Flag:[Lancelot]
4.继续查看数据包文件attack.pacapng分析出恶意用户最终获得的密码是什么,并将密码作为Flag(形式:[密码])提交:
http contains "login.php"
flag:[12369874]
5.继续查看数据包文件attack.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag(形式:[一句话密码])提交:
http contains “POST”
Flag:[alpha]
6.继续查看数据包文件attack.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为Flag(形式:[文件名.后缀名])提交:
http contains "POST"
Flag:[flag.zip]
7.继续查看数据包文件attack.pacapng将恶意用户下载的文件里面的内容作为Flag(形式:[文件内容])提交 :
binwalk -e 数据包 #文件提取
Flag:[ flag{Manners maketh man}]