假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。
1.通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交;
使用过滤规则:
http.request.method==POST
FLAG:[172.16.1.102]
2.继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为 FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交;
使用过滤规则:
ip.src==172.16.1.102&&tcp
FLAG:[21,23,80,445,3389,5007]
3.通过查看数据包文件 attack.pacapng 分析出黑客最终获得的用户名是什么,并将用户名作为 FLAG(形式:[用户名])提交;
FLAG:[Lancelot]
4.通过查看数据包文件 attack.pacapng 分析出黑客最终获得的密码是什么,并将密码作为 FLAG(形式:[密码])提交;
FLAG:[123456]
5.通过查看数据包文件 attack.pacapng 分析出黑客连接一句话木马的密码是什么,并将一句话密码作为 FLAG(形式:[一句话密码])提交;
导出http数据流,发现上传了Q.php木马文件
这里肯定有新手小伙伴觉得是[z0] 其实不是的哈
[z0]只是菜刀连接的流量特征
FLAG:[alpha]
6.通过查看数据包文件 attack.pacapng 分析出黑客下载了什么文件,并将文件名及后缀作为 FLAG(形式:[文件名。后缀名])提交;
FLAG:[flag.zip]
7.继续查看数据包文件 attack.pacapng 提取出黑客下载的文件,并将文件里面的内容为 FLAG(形式:[文件内容])提交;
kali使用binwalk -e 分离 cat查看flag.txt
FLAG:[Manners maketh man]
原文始发于微信公众号(鱼影安全):Wirehark数据分析与取证attack.pcapng
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论