Wireshark 数据包分析

1.使用 Wireshark 抓包分析软件查看并分析 Kali Linux 的/root 目录下 dump.pcapng 数据包文件，找到黑客的 IP 地址，并将黑客的 IP 地址作为 Flag值（如：172.16.1.1）提交；

进入 kali Linux 命令控制台中使用如下命令

 

使用以下过滤规则进行过滤，发现黑客的 IP 地址为 172.16.1.110

 Flag：172.16.1.110

2.继续分析数据包文件 dump.pcapng 分析出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试，将服务对应的端口依照从小到大的顺序依次排列作为 Flag 值（如：77/88/99/166/1888）提交；

使用过滤规则 tcp.connection.syn and ip.src == 172.16.1.110，由于扫描端口过多不再一一截图，通过过滤 IP 地址后，可以发现黑客扫描了 21/22/23/80/3306 端口

 Flag：21/22/23/3306

3.继续分析数据包文件 dump.pcapng，找出黑客已经获取到的目标服务器基本信息，请将黑客获取到的目标服务器主机名作为 Flag 值提交；

使用过滤规则 ip.addr == 172.16.1.110 and telnet contains “login”,

 Flag：SecTestLabs

4.黑客扫描后可能首先对目标服务器的某个服务实施了攻击，继续查看数据包文件 dump.pcapng 分析出黑客成功破解了哪个服务的密码，并将该服务的版本号作为 Flag 值(如：5.1.10)提交；

使用过滤规则 ip.addr == 172.16.1.110 and tcp.port == 3306 进行筛选

 通过追踪其中一个登录的数据包发现了数据库的版本信息 version=5.7.26

 Flag：5.7.26

5.继续分析数据包文件 dump.pcapng，黑客通过数据库写入了木马,将写入的木马名称作为 Flag 值提交（名称不包含后缀）；

继续使用上一题的过滤规则：

 发现序号 6197 中的 info 信息一栏，选中该数据包然后选择追踪流——TCP 流

 可以看到这个数据包中，黑客已经成功进入数据库，并开始查询数据库信息：

 发现黑客通过 into outfile 命令写入了一句话木马 horse.php

Flag：horse

6.继续分析数据包文件 dump.pcapng，黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为 Flag 值提交；

 Flag：lqsym

7.继续分析数据包文件 dump.pcapng，找出黑客连接一句话木马后查看了什么文件，将黑客查看的文件名称作为 Flag 值提交；

黑客上传的一句话木马 horse.php，根据这个线索，我们接下来对包含 horse.php字段的 http 协议的数据包进行过滤，公式为 http contains “horse.php”

 依次对这三个数据包进行追踪流的操作，发现最后两个会话流中都遍历了

 /etc/passwd 文件。

Flag：passwd

8.继续分析数据包文件 dump.pcapng，黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透，成功破解出服务的密码后登录到服务器中下载了一张图片，将图片文件中的英文单词作为 Flag 值提交。

从上面的步骤中我们可以发现黑客查看了 passwd 文件，通过分析文件可以看到有一个 suictsr247 用户

 

下面我们对该字段进行搜索，使用快捷键 Ctrl+F 打开数据包显示过滤器,搜索字符串为 suictsr247 的数据包

 发现黑客对目标靶机实施 ftp 暴力破解，使用过滤规则 ftp contains“230”进行过滤，过滤出 Response 返回值 230 即成功登录 ftp 服务器的数据包。

 

过滤后发现有登录成功的提示（Login successful）,黑客已经获得了 ftp 服务器的密码，并成功登录到了靶机的服务器中。对上面的数据包进行追踪流

 会话流中我们发现了 flag.jpg 的文件大小为 56489 字节即接近 56kb 大小的文件,极有可能为下载的图片文件，下面使用过滤公式 ftp-data 来过滤服务器发送数据的流量。

 选择任意一个包，跟踪流——跟踪 TCP 流

 接下来我们选择显示和保存为原始数据，

 选择 Raw 源数据，然后点击 Save as 保存为 jpg 文件进行查看。