数据分析与取证
需要可私
1. 使用 Wireshark 查看并分析虚拟机 windows 7 桌面下的 attack.pcapng 数据包文件,通 过分析数据包 attack.pcapng 找出黑客的 IP 地址,并将黑客的 IP 地址作为 FLAG(形式:[IP 地址])提交:
tcp.connection.syn
通过分析端口,因为黑客都是扫描常用端口的
Flag:[172.16.1.102]
2. 继续查看数据包文件 attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作 为 FLAG(形式:[端口名 1,端口名 2,端口名 3…,端口名 n])从低到高提交:
tcp.connection.syn and ip.src==172.16.1.102
Flag:[21,23,80,445,3389,5007]
3. 继续查看数据包文件 attack.pacapng 分析出黑客最终获得的用户名是什么,并将用户 名作为 FLAG(形式:[用户名])提交:
http.request.method==POST
Flag:[Lancelot]
4. 继续查看数据包文件 attack.pacapng 分析出黑客最终获得的密码是什么,并将密码作 为 FLAG(形式:[密码])提交:
http.request.method==POST
flag:[12369874]
5. 继续查看数据包文件 attack.pacapng 分析出黑客连接一句话木马的密码是什么,并将 一句话密码作为 FLAG(形式:[一句话密码])提交:
Ctrl+f
Flag:[alpha]
6. 继续查看数据包文件 attack.pacapng 分析出黑客下载了什么文件,并将文件名及后缀 作为 FLAG(形式:[文件名.后缀名])提交:
http.request.method==POST
flag:[flag.zip]
7. 继续查看数据包文件 attack.pacapng 提取出黑客下载的文件,并将文件里面的内容为 FLAG(形式:[文件内容])提交:
binwalk -eM attack.pcapng
flag:[ flag{Manners maketh man}]