在某地举行的大比武中，有一道网络流量分析题目，现在分享一下该题目做题思路。

只给出A.pacp和B.pacp两个流量包，共计10道题目，如下图所示：

根据题目进行解题，先进行简单判断，梳理思路。黑客攻击题目，会涉及到扫描器、webshell等。

首先分析A.pacp，解出黑客的IP地址，首先要进行扫描器分析，常见扫描器特征有WVS扫描器通常默认情况下，会在请求的数据包中带有wvs、acunetix_wvs_security_test、acunetix、acunetix_wvs等字样；Nessus扫描器默认情况下会包含nessus字样；APPscan默认情况下会包含APPscan字样；绿盟极光扫描器一般会包含nsfocus、Rsas字样；sqlmap大多情况下也会包含有sqlmap字样。

由此我们可以判断出黑客的IP地址是192.168.94.59，同时得到web服务器的IP地址是192.168.32.189。

分析web服务器eth1的ip地址，使用字符串搜索即可得到eth1的ip为10.3.3.100

黑客扫描到的后台登陆是，目前已经掌握了黑客ip及扫描器，通常网站后台的登陆都包括login、admin等关键字，我们通过http contains login and ip.addr==192.168.94.59进行过滤。可以得到登陆后台是/admin/login.php。

黑客登陆web后台使用的密码是，通过上题即可得出密码是admin!@#pass123。

网站账号“人事”所对应的登陆密码是，通过对流量包A进行http.request过滤得出，密码为hr123456.

黑客上传的webshell文件是，我们可以根据一句话木马的特征先过滤一下数据包，得到a.php文件。通过对a.php文件分析，得出其就是webshell。

webshell使用的连接密码，通过对a.php文件的分析，得出连接密码是1234.

黑客找到的数据库密码是，在php网站中，数据库配置文件通常为config.php，database.php等，我们通常通过过滤可以得出结果，此题中的webshell并未读取数据库配置，我们采用查看返回状态码200进行过滤。得到数据库密码为e667jUPvJjXHvEUv

数据库的版本号为，打开流量B，过滤mysql协议，即可看见数据库版本号为5.5.49。

在“dou_config”表中，“name”列的值是“tel”的行中，“value”值是，搜索关键字tel可以得出value是0596-8888888。

此题目比较真实的还原了黑客攻击过程。通过对题目分析，发现还有vpn账号及vpn服务器，以及攻击者使用的邮箱，感兴趣的同事可以我联系进行分享。

原文始发于微信公众号（盘古石取证）：记一次流量分析题目