文章描述了一个使用Wireshark分析capture.pcapng数据包文件的过程,以查找黑客的IP地址、受到暴力枚举的服务端口、目标服务器主机名、被破解的服务及版本、数据库中写入的木马和密码,以及黑客查看的文件和下载的图片。通过过滤和TCP追流,揭示了黑客的渗透攻击行为。
B-6:流量分析
任务环境说明:
服务器场景:Server09
服务器场景操作系统:未知(关闭连接)
系统用户名:administrator密码:123456
1.使用Wireshark查看并分析靶机桌面下的capture.pcapng数据包文件,找到黑客的IP地址,并将黑客的IP地址作为Flag值(如:172.16.1.1)提交;
因为不是开放连接,这里我们使用远程桌面连接,账号:administrator,密码:123456,我们把他放进Win7里面就行分析
这里比较好找,打开Wireshark的第二条数据流就是
flag:{172.16.1.110}2.继续分析capture.pcapng数据包文件,找出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试,将服务对应的端口依照从小到大的顺序依次排列作为Flag值(如:77/88/99/166/1888)提交;
查看端口,这里就要使用过滤语法了,ip.src == 172.16.1.110 and tcp.connection.syn,注意这里说的是暴力枚举,所有80端口不是
flag:{21,22,23,3306}3.继续分析capture.pcapng数据包文件,找出黑客已经获取到目标服务器的基本信息,请将黑客获取到的目标服务器主机名作为Flag值提交;
其他服务过滤了一下,都是没有什么东西的,只有21号端口是由登录记录的
flag:{SecTestLabs}4.继续分析capture.pcapng数据包文件,找出黑客成功破解了哪个服务的密码,并将该服务的版本号作为Flag值(如:5.1.10)提交;
这里题目没有说清楚到底是什么服务,黑客一共破解成功了两个服务的密码,一个是MySQL和FTP的密码,这个要看具体哪个服务的版本能提交成功了
以及
flag:{2.3.4或5.7.26}5.继续分析capture.pcapng数据包文件,黑客通过数据库写入了木马,将写入的木马名称作为Flag值提交(名称不包含后缀);
这里可以看到黑客已经进入到数据库进行操作了
我们进行TCP追流
在最后一段发现了黑客写进数据库里面的木马
flag:{horse}6.继续分析capture.pcapng数据包文件,黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交;
上一题已经找到写在数据库里面的木马文件了,密码也就放在前面
flag:{lqsym}7.继续分析capture.pcapng数据包文件,找出黑客连接一句话木马后查看了什么文件,将黑客查看的文件名称作为Flag值提交;
这里没什么重点,只需要输入过滤语句即可:http contains "horse.php",这里的过滤语句有很多,只要最终把horse.php过滤出来就可以了,上面命令比较简单,不需要输入过多参数而已
这里可以发现,黑客对passwd文件进行了查看
flag:{passwd}8.继续分析capture.pcapng数据包文件,黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透,成功破解出服务的密码后登录到服务器中下载了一张图片,将图片文件中的英文单词作为Flag值提交。
这题就是使用到第四题的过滤语句,随便点击一个数据流进行TCP追流就可以发现黑客下载的图片
我们知道他是通过ftp下载的图片,那么我们就对ftp的数据进行过滤:ftp-data
进行TCP追流后发现是查看不了图片内容的,那么我们就把数据导出来
然后点击另存为 另存名字为:abc.jpg,然后就可以了
flag:{harmony}
扫一扫
4286
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
