假设您是一名网络安全工程师需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。只提供思路,答案仅供参考文章同步CSDN!
01
1.通过分析flag.pcapng数据包文件找到黑客的IP地址,并将黑客的IP地址作为Flag值(如:172.16.1.1)提交;
筛选arp协议 发现黑客IP地址
FLAG:10.0.0.129
2.通过分析数据包文件flag.pcapng分析出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试,将服务对应的端口依照从小到大的顺序依次排列作为Flag值(如:77/88/99/166/1888)提交;
使用过滤规则:过滤黑客IP
分别对20,21,80,3306做了请求!
ip.ddr == 10.0.0.129
根据题目要求是暴力破解,所以这里的20端口是ftp的服务端是用来传输数据的,80端口的话只是上传了文件并没有进行暴力破解,这里应该只有21和3306
FLAG:21,3306
03
3.通过分析数据包文件flag.pcapng分析黑客扫描后可能直接对目标服务器的某个服务实施了攻击,继续查看数据包文件flag.pcapng分析出黑客成功破解了哪个服务的密码,并将该服务的版本号作为Flag值(如:5.1.10)提交;
筛选mysql协议,右键追踪tcp数据流
FLAG:5.1.73
04
4.通过分析数据包文件flag.pcapng,将黑客通过数据库写入了木马,将写入的第二个木马名称作为Flag值提交(名称不包含后缀);
因为是第二个所以直接看最后面的追踪流即可。
FLAG:shell1.php
05
5.通过分析数据包文件flag.pcapng,黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交;
FLAG:cmd
06
6.通过分析数据包文件flag.pcapng,找出黑客连接一句话木马后查看了什么文件,将黑客查看的文件名称作为Flag值提交;
过滤http协议发现查看了 flag.txt文件
FLAG:flag.txt
07
7.通过分析数据包文件flag.pcapng,找出黑客已经获取到目标服务器的基本信息,请将黑客获取到的目标服务器主机名作为Flag值提交;
提供一个思路:我们进行过滤nbns数据包后进行追踪udp数据流可以得到主机名,WINS服务器解析(NBNS数据包),WINS服务器用于登记记录计算机NetBIOS名称和IP地址的对应关系,供局域网计算机查询。所以黑客使用工具nbtscan进行扫描的。
08
8.通过分析数据包文件flag.pcapng,黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透,成功破解出服务的密码后登录到服务器中下载了一张图片,将图片文件中的英文单词作为Flag值提交;
过滤ftp-data包,追踪tcp流,显示和保存数据为原始数据然后save as导出保存为图片格式即可。
FLAG:my_falg
原文始发于微信公众号(鱼影安全):Wirehark数据分析与取证flag.pcap
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论