前言

DIDCTF里的2024精武杯的流量分析题目。

1、流量分析-1

请分析流量分析.pcapng文件，并回答入侵者的IP地址是？

直接随便找个HTTP请求看一下：

请求是192.168.85.130发出的。

2、流量分析-2

请分析流量分析.pcapng文件，并回答被入侵计算机中的cms软件版本是？

TCP流的7：

版本：5.2.1

3、流量分析-3

请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL版本号是?

TCP流的66：

版本：5.5.53

4、流量分析-4

请分析流量分析.pcapng文件，并回答被入侵计算机中的MySQL root账号密码是？

那就直接过滤包含phpmyadmin的并且请求方式是POST，因为phpmyadmin登录方式是POST请求，tcp contains "phpmyadmin" and http.request.method=="POST"，然后一个个分析，最后在TCP流的56找到了：

密码：admin@12345

5、流量分析-5

请分析流量分析.pcapng文件，并回答入侵者利用数据库管理工具创建了一个文件，该文件名为？

TCP流的61：

文件名：06b8dcf11e2f7adf7ea2999d235b8d84.php

6、流量分析-6

请分析流量分析.pcapng文件，并回答被入侵计算机中PHP环境禁用了几个函数？

考眼力的题，TCP流的66：

disable_function：system, passthru, exec, shell_exec, popen, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl

7、流量分析-7

请分析流量分析.pcapng文件，并回答入侵者提权后，执行的第1条命令是？

提权后执行的命令，肯定是管理员权限了，那么用过CMD的都知道，管理员打开cmd的路径是C:Windowssystem32，因此我们这样过滤：tcp contains "system32"，然后就定位到了tcp流的1315：

执行的命令是：dir

8、流量分析-8

请分析流量分析.pcapng文件，并回答被入侵计算机开机时间是？

还是TCP流的1315，攻击者执行了一个systeminfo：

在这里看到时间是2019/6/13, 18:50:33

题目也没说格式，正确的答案是：2019-06-13 18:50:33

9、流量分析-9

请分析流量分析.pcapng文件，并回答被入侵计算机桌面上的文件中flag是？(答案格式：abcdef123456789)

TCP流的1366：

fl-ag:3f76818f507fe7e66422bd0703c64c88

10、流量分析-10

请分析流量分析.pcapng文件，并回答图片文件中的flag是？ (答案格式：abcdef123456789)

TCP流的1368，都不用导出图片：

this.txt：d31c1d06331a9534bf41ab93afca8d31