wirehark数据分析与取证infiltration.pacapng

wiresharek

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包，并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

wireshark的介绍：

假设您是一名网络安全工程师，需要对某公司的公司进行数据分析，分析黑客获取电脑权限进行的操作，我们本章主要以分析案例数据包进行分析关键数据。

infiltration.pacapng数据包

1.登录 FTP 下载数据包文件 infiltration.pacapng，找出恶意用户的 IP 地址，并将恶意用户的 IP 地址作为 Flag（形式：[IP 地址]）提交；

使用过滤规则：tcp.connection.syn 显示TCP 第一个回显的数据包

[192.168.90.132]

2.分析出恶意用户扫描了哪些端口，并将全部的端口作为 Flag（形式：[端口名 1，端口名 2，端口名 3…，端口名 n]）从低到高提交；

使用过滤规则：ip.src == 192.168.90.132 and tcp.flags.syn == 3

[80,443]

3.恶意用户最终获得靶机的密码是什么，并将密码作为 Flag（形式：[用户名]）；

筛选 telnet 协议 发现是通过telnet 进去的 看到了账号和密码

[YwQgj8eN]

4.找出目的不可达的数据数量，并将目的不可达的数据数量作为 Flag（形式：[数字]）提交；

找到统计 查看IPv4 --- IP Protocol Types 筛选显示过滤器： icmp.type == 3

[154]

5.分析出恶意用户使用的最后一个一句话木马的密码是什么，并将一句话密码作为 Flag（形式：[一句话密码]）提交；

筛选HTTP协议 选择左上角文件 导出对象 筛选HTTP协议 Ctrl+F 搜索 eval

[hope]

6.分析出被渗透主机的服务器系统 OS 版本全称是什么是，并将 OS 版本全称作为 Flag（形式：[服务器系统 OS 版本全称]）提交；

根据第二题的数据流 可以知道 OS版本全称

[Microsoft Windows Server 2008 R2 Standard]

如果有不懂得地方可以私信博主，欢迎交流！！交流群：603813289（刚建的）

最后如果对你有帮助 希望大家可以给个三连支持一下博主，你们得支持就是我最大得动力，转载请注明原文链接支持原创谢谢大家！