在某地举行的大比武中，有一道网络流量分析题目，现在分享一下该题目做题思路。

只给出A.pacp和B.pacp两个流量包，共计10道题目，如下图所示：

根据题目进行解题，先进行简单判断，梳理思路。黑客攻击题目，会涉及到扫描器、webshell等。

首先分析A.pacp，解出黑客的IP地址，首先要进行扫描器分析，常见扫描器特征有WVS扫描器通常默认情况下，会在请求的数据包中带有wvs、acunetix_wvs_security_test、acunetix、acunetix_wvs等字样；Nessus扫描器默认情况下会包含nessus字样；APPscan默认情况下会包含APPscan字样；绿盟极光扫描器一般会包含nsfocus、Rsas字样；sqlmap大多情况下也会包含有sqlmap字样。

由此我们可以判断出黑客的IP地址是192.168.94.59，同时得到web服务器的IP地址是192.168.32.189。

分析web服务器eth1的ip地址，使用字符串搜索即可得到eth1的ip为10.3.3.100

黑客扫描到的后台登陆是，目前已经掌握了黑客ip及扫描器，通常网站后台的登陆都包括login、admin等关键字，我们通过http contains login and ip.addr==192.168.94.59进行过滤。可以得到登陆后台是/admin/login.php。

黑客登陆web后台使用的密码是，通过上题即可得出密码是admin!@#pass123。

网站账号“人事”所对应的登陆密码是，通过对流量包A进行http.request过滤得出，密码为hr123456.

黑客上传的webshell文件是，我们可以根据一句话木马的特征先过滤一下数据包，得到a.php文件。通过对a.php文件分析，得出其就是webshell。

webshell使用的连接密码，通过对a.php文件的分析，得出连接密码是1234.

黑客找到的数据库密码是，在php网站中，数据库配置文件通常为config.php，database.php等，我们通常通过过滤可以得出结果，此题中的webshell并未读取数据库配置，我们采用查看返回状态码200进行过滤。得到数据库密码为e667jUPvJjXHvEUv

数据库的版本号为，打开流量B，过滤mysql协议，即可看见数据库版本号为5.5.49。

在“dou_config”表中，“name”列的值是“tel”的行中，“value”值是，搜索关键字tel可以得出value是0596-8888888。

此题目比较真实的还原了黑客攻击过程。通过对题目分析，发现还有vpn账号及vpn服务器，以及攻击者使用的邮箱，感兴趣的同事可以我联系进行分享。

安全为先，洞鉴未来，奇安信盘古石取证团队竭诚为您提供电子数据取证专业的解决方案与服务。如需试用，请联系奇安信各区域销售代表，或致电95015，期待您的来电！

“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队，由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先，洞鉴未来”为使命，以“漏洞思维”解决电子数据取证难题，以“数据驱动安全”为技术思想，以安全赋能取证，研发新一代电子数据取证产品，产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案，为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。

原文始发于微信公众号（盘古石取证）：记一次流量分析题目