Wireshark之攻击流量分析

2023-08-31 19:20

短信预约 -IT技能 免费直播动态提醒

Wireshark之攻击流量分析

- 1.题目
- 2.过程及解析

1.题目

使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件，通过分析数据包attack.pcapng找
出恶意用户目录扫描的第9个文件，并将该文件名作为Flag值
2.继续查看数据包文件logs.pacapng，分析出恶意用户扫描了哪些端口，并将全部的端口作为Flag值（形式：
[端口名1，端口名2，端口名3…，端口名n]）从低到高提交；
3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么，并将该文件名作为Flag值
（形式：[robots.txt]）提交；
4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么，并将该路径作为Flag值
（形式：[/root/whoami/]）提交；
5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么，并将一句话密码作为Flag
值（形式：[一句话密码]）提交；
6.继续查看数据包文件logs.pacapng分析出恶意用户下载了什么文件，并将文件名及后缀作为Flag值（形式：
[文件名.后缀名]）提交；
7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值（形式：[文件内容]）提交。

2.过程及解析

使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件，通过分析数据包attack.pcapng找出恶意用户目录扫描的第9个文件，并将该文件名作为Flag值

具体步骤：
因为扫目录常用http请求方式为：head、get、post
请求报文的请求头通常为head，使用http.request.method==HEAD过滤
然后按照时间顺序来查看恶意用户访问了哪些文件，并找出第9个文件的文件名。这个文件名就是需要提交的Flag值 Flag：[star.php]

在这里插入图片描述
2.继续查看数据包文件logs.pacapng，分析出恶意用户扫描了哪些端口，并将全部的端口作为Flag值（形式：[端口名1，端口名2，端口名3…，端口名n]）从低到高提交；

具体步骤：
可以看到这里这里只有http和tcp协议，通过ip.class="lazy" data-src == 172.16.1.10 && tcp 查找
可以很容易看出Flag价值:Flag：[21,80,445,1433,3306,3389,5000]

在这里插入图片描述
3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么，并将该文件名作为Flag值（形式：[robots.txt]）提交；

具体步骤：
因为http请求就三种head,post,get且题目提示为.txt文件，所以我就通过http.request.method == POST/HEAD/GET && http.request.uri contains".txt" 过滤，结果就GET 有。如下图：所以Flag为：Flag：[name.txt]

在这里插入图片描述

在这里插入图片描述
4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么，并将该路径作为Flag值（形式：[/root/whoami/]）提交；

具体步骤：因为上个题目可知只有GET请求，而且一句话木马里面有eval字样，所以我就通过http.request.method == GET && http.request.uri contains"eval"这个过滤，不出所料直接找到了：

在这里插入图片描述

然后打开追踪流复制里面的东西进行URL解码：

在这里插入图片描述

直接就可以看到路经
所以Flag为：Flag：[C:/phpstudy/www/]

5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么，并将一句话密码作为Flag 值（形式：[一句话密码]）提交；

具体步骤：可以通过上面的知道Flag为：Flag：[007]

6.继续查看数据包文件logs.pacapng分析出恶意用户下载了什么文件，并将文件名及后缀作为Flag值（形式： [文件名.后缀名]）提交；

具体步骤：可以同上面一个一句话木马知道是通过post请求的然后通过http.request.method == POST 过滤：

在这里插入图片描述

发现第三个有文件：

在这里插入图片描述

所以Flag的值：Flag：[flag.zip]

7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值（形式：[文件内容]）提交。

具体步骤：我们直接可以同过提取里面的内容下载到本地也可以直接看通过tcp流看出里面的内容：

在这里插入图片描述

也可以直接看：

在这里插入图片描述

所以Flag值：
Flag：[flag{Find You!}]

来源地址：https://blog.csdn.net/qq_52486507/article/details/129444318

免责声明：

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的，并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据，供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

wireshark php 网络

阅读原文内容投诉

Wireshark之攻击流量分析

下载Word文档到电脑，方便收藏和打印～

下载Word文档

编程热搜

Python 学习之路 - Python
一、安装Python34Windows在Python官网（https://www.python.org/downloads/）下载安装包并安装。Python的默认安装路径是：C:\Python34配置环境变量：【右键计算机】--》【属性】-
chatgpt的中文全称是什么
chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型，它能够通过学习和理解人类的语言来进行对话，还能根据聊天的上下文进行互动，并协助人类完成一系列
C/C++中extern函数使用详解
C/C++可变参数的使用
可变参数的使用方法远远不止以下几种，不过在C,C++中使用可变参数时要小心，在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少，否则会产生访问越界，运气不好的话还会导致程序崩溃
css样式文件该放在哪里
php中数组下标必须是连续的吗
Python 3 教程
Python 3 教程 Python 的 3.0 版本，常被称为 Python 3000，或简称 Py3k。相对于 Python 的早期版本，这是一个较大的升级。为了不带入过多的累赘，Python 3.0 在设计的时候没有考虑向下兼容。 Python
Python pip包管理
一、前言在Python中，安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具： easy_install 和 pip ，目前官方推荐使用 pip。
ubuntu如何重新编译内核
改善Java代码之慎用java动态编译