流量分析（dump.pcapng）

1.使用Wireshark抓包分析软件查看并分析Kali Linux的/root目录下dump.pcapng数据包文件，找到黑客的IP地址，并将黑客的IP地址作为Flag值（如：172.16.1.1）提交；

 使用以下过滤规则进行过滤，发现黑客的IP地址为172.16.1.110

 Flag：172.16.1.110

2.继续分析数据包文件dump.pcapng分析出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试，将服务对应的端口依照从小到大的顺序依次排列作为Flag值（如：77/88/99/166/1888）提交；

使用过滤规则tcp.connection.syn and ip.src == 172.16.1.110，由于扫描端口过多不再一一截图，通过过滤IP地址后，可以发现黑客扫描了21/22/23/80/3306端口

 Flag：21/22/23/80/3306

3.继续分析数据包文件dump.pcapng，找出黑客已经获取到目标服务器的基本信息，请将黑客获取到的目标服务器主机名作为Flag值提交；

使用过滤规则ip.addr == 172.16.1.110 and telnet contains “login”

Flag：SecTestLabs

4.黑客扫描后可能直接对目标服务器的某个服务实施了攻击，继续查看数据包文件dump.pcapng分析出黑客成功破解了哪个服务的密码，并将该服务的版本号作为Flag值(如：5.1.10)提交；

 使用过滤规则ip.addr == 172.16.1.110 and tcp.port == 3306进行筛选

 通过追踪其中一个登录的数据包发现了数据库的版本信息version=5.7.26

Flag：5.7.26

5.继续分析数据包文件dump.pcapng，黑客通过数据库写入了木马,将写入的木马名称作为Flag值提交（名称不包含后缀）；

 

 Flag：horse

6.继续分析数据包文件dump.pcapng，黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交；

 

 Flag：lqsym

7.继续分析数据包文件dump.pcapng，找出黑客连接一句话木马后查看了什么文件，将黑客查看的文件名称作为Flag值提交；

我们发现了黑客上传的一句话密码horse.php，那么根据这条线索，我们接下来对包含horse.php字段的http协议的数据包进行审计使用过滤公式：http contains “horse.php”

依次对这三个包进行跟踪流（HTTP流）操作，发现最后两个会话流中都遍历/etc/passwd文件。

a.我们先将内容复制下来

b.将它复制到1.txt中

 

 c.使用base64解码

 d.内容如下

 

 Flag：passwd

8.继续分析数据包文件dump.pcapng，黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透，成功破解出服务的密码后登录到服务器中下载了一张图片，将图片文件中的英文单词作为Flag值提交。

 继续上一题的实验步骤，我们发现了黑客遍历了passwd文件，通过分析文件我们发现了一个异常用户suictsr247

 下面我们对该字段进行搜索，步骤为使用快捷键Ctrl+F打开数据包显示过滤器,搜索字符串为suictsr247的数据包。

发现黑客对目标靶机实施ftp暴力破解，使用过滤规则ftp contains“230”进行过滤，过滤出Response返回值230即成功登录ftp服务器的数据包。

 

过滤后发现有登录成功的提示（Login successful）,黑客已经获得了ftp服务器的密码，并成功登录到了靶机的服务器中。对上面的数据包进行追踪流：

 

会话流中我们发现了flag.jpg的文件大小为56489字节即接近56kb大小的文件极有可能为下载的图片文件，下面使用过滤公式ftp-data来过滤服务器发送数据的流量。

 

 选择任意一个包，跟踪流——跟踪TCP流

 接下来我们选择显示和保存为原始数据。

 选择Raw源数据，然后点击Save as 保存为jpg文件进行查看。

 Flag：harmony