wirehark数据分析与取证attack.pcap

wiresharek

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包，并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

wireshark的介绍：

假设您是一名网络安全工程师，需要对某公司的公司进行数据分析，分析黑客获取电脑权限进行的操作，我们本章主要以分析案例数据包进行分析关键数据。

attack.pcap数据包

1.通过分析数据包 attack.pcapng 找出黑客的 IP 地址，并将黑客的 IP 地址作为 FLAG（形式：[IP 地址]）提交；

使用过滤器筛选 http.request.method==POST

flag：【172.16.1.102】

2.继续查看数据包文件 attack.pacapng，分析出黑客扫描了哪些端口，并将全部的端口作为 FLAG（形式：[端口名 1，端口名 2，端口名 3…，端口名 n]）从低到高提交；

使用过滤器筛选 ip.src==172.16.1.102&&tcp

flag：【21，23，80，445，3389，5007】

3.通过查看数据包文件 attack.pacapng 分析出黑客最终获得的用户名是什么，并将用户名作为 FLAG（形式：[用户名]）提交；

筛选过滤http协议

flag：【Lancelot】

4.通过查看数据包文件 attack.pacapng 分析出黑客最终获得的密码是什么，并将密码作为 FLAG（形式：[密码]）提交；

上面图片其实已经有答案了

flag：【123456】

5.通过查看数据包文件 attack.pacapng 分析出黑客连接一句话木马的密码是什么，并将一句话密码作为 FLAG（形式：[一句话密码]）提交；

继续筛选http协议找到上传以后得页面查看

flag：【alpha】

6.通过查看数据包文件 attack.pacapng 分析出黑客下载了什么文件，并将文件名及后缀作为 FLAG（形式：[文件名。后缀名]）提交；

flag：【flag.zip】

7.继续查看数据包文件 attack.pacapng 提取出黑客下载的文件，并将文件里面的内容为 FLAG（形式：[文件内容]）提交；

放到kali里面使用binwalk -e 数据包

flag【Manners maketh man】

数据包下载 请私信博主

最后祝大家每天开心！喜欢得收藏点赞谢谢大家！