网络安全实战-wireshark数据包分析

任务实施:

Wireshark数据包分析

1.某公司网络系统存在异常，猜测可能有黑客对公司的服务器实施了一系列的扫描和攻击，使用Wireshark抓包分析软件查看并分析Kali Linux的/root目录下dump.pcapng数据包文件，找到黑客的IP地址，并将黑客的IP地址作为Flag值（如：172.16.1.1）提交；

进入kali Linux命令控制台中使用如下命令

使用以下过滤规则进行过滤，发现黑客的IP地址为172.16.1.110

Flag：172.16.1.110

2.继续分析数据包文件dump.pcapng分析出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试，将服务对应的端口依照从小到大的顺序依次排列作为Flag值（如：77/88/99/166/1888）提交；

使用过滤规则tcp.connection.syn and ip.src == 172.16.1.110，由于扫描端口过多不再一一截图，通过过滤IP地址后，可以发现黑客扫描了21/22/23/80/3306端口

Flag：21/22/23/3306

3.继续分析数据包文件dump.pcapng，找出黑客已经获取到的目标服务器基本信息，请将黑客获取到的目标服务器主机名作为Flag值提交；

使用过滤规则ip.addr == 172.16.1.110 and telnet contains “login”,

Flag：SecTestLabs

4.黑客扫描后可能首先对目标服务器的某个服务实施了攻击，继续查看数据包文件dump.pcapng分析出黑客成功破解了哪个服务的密码，并将该服务的版本号作为Flag值(如：5.1.10)提交；

使用过滤规则ip.addr == 172.16.1.110 and tcp.port == 3306进行筛选

通过追踪其中一个登录的数据包发现了数据库的版本信息version=5.7.26

Flag：5.7.26

5.继续分析数据包文件dump.pcapng，黑客通过数据库写入了木马,将写入的木马名称作为Flag值提交（名称不包含后缀）；

继续使用上一题的过滤规则：

发现序号6197中的info信息一栏，选中该数据包然后选择追踪流——TCP流

可以看到这个数据包中，黑客已经成功进入数据库，并开始查询数据库信息：

发现黑客通过into outfile命令写入了一句话木马horse.php

Flag：horse

6.继续分析数据包文件dump.pcapng，黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交；

Flag：lqsym

7.继续分析数据包文件dump.pcapng，找出黑客连接一句话木马后查看了什么文件，将黑客查看的文件名称作为Flag值提交；

黑客上传的一句话木马horse.php，根据这个线索，我们接下来对包含horse.php字段的http协议的数据包进行过滤，公式为http contains “horse.php”

依次对这三个数据包进行追踪流的操作，发现最后两个会话流中都遍历了/etc/passwd文件。

Flag：passwd

8.继续分析数据包文件dump.pcapng，黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透，成功破解出服务的密码后登录到服务器中下载了一张图片，将图片文件中的英文单词作为Flag值提交。

从上面的步骤中我们可以发现黑客查看了passwd文件，通过分析文件可以看到有一个suictsr247用户

下面我们对该字段进行搜索，使用快捷键Ctrl+F打开数据包显示过滤器,搜索字符串为suictsr247的数据包

发现黑客对目标靶机实施ftp暴力破解，使用过滤规则ftp contains“230”进行过滤，过滤出Response返回值230即成功登录ftp服务器的数据包。

过滤后发现有登录成功的提示（Login successful）,黑客已经获得了ftp服务器的密码，并成功登录到了靶机的服务器中。对上面的数据包进行追踪流

会话流中我们发现了flag.jpg的文件大小为56489字节即接近56kb大小的文件极有可能为下载的图片文件，下面使用过滤公式ftp-data来过滤服务器发送数据的流量。

选择任意一个包，跟踪流——跟踪TCP流

接下来我们选择显示和保存为原始数据，

选择Raw源数据，然后点击Save as 保存为jpg文件进行查看。

Flag：harmony