一道简单的流量分析

流量附件提取
链接:https://pan.baidu.com/s/1oHSbIFiqs6ENmqykzFkEKg
提取码:do7s

1、 使用Wireshark查看并分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交:
我们使用http.request.method == GET这个方法来过滤一下GET请求包
一道简单的流量分析_第1张图片
一道简单的流量分析_第2张图片

发现两个登录页面的请求包一个是172.16.1.10向172.16.1.101发出的请求 一个是172.16.1.102向172.16.1.10发出的请求但是都没有关于用户名密码的相关信息再试试POST方法
一道简单的流量分析_第3张图片

在这里我们发现了用户名密码基本确定黑客ip 172.16.1.102
所以这一小解答案为:flag{172.16.1.102}
2、 继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交
筛选源ip是172.16.1.102并且是tcp协议(备注:nmap扫描端口是基于tcp)的流量包
ip.src==172.16.1.102&&tcp
一道简单的流量分析_第4张图片

这样答案就出来了
flag{21,23,80,445,3389,5007}
3、继续查看数据包文件attack.pacapng分析出黑客最终获得的用户名是什么,并将用户名作为FLAG(形式:[用户名])提交:
这题就比较简单的了我们去第一题中就能找到对应的解题思路,我再这里再演示一遍
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

得到答案flag{Lancelot}
4、继续查看数据包文件attack.pacapng分析出黑客最终获得的密码是什么,并将密码作为FLAG(形式:[密码])提交:(图请见上一题中的图)
flag{12369874}
5、继续查看数据包文件attack.pacapng分析出黑客连接一句话木马的密码是什么,并将一句话密码作为FLAG(形式:[一句话密码])提交:
一句话木马的一半格式就为那我尝试一下过滤一下POST请求方式试一下
一道简单的流量分析_第5张图片

在3778帧的数据包处发现了一句话木马POST的密码答案即为
flag{z0}
6、继续查看数据包文件attack.pacapng分析出黑客下载了什么文件,并将文件名及后缀作为FLAG(形式:[文件名.后缀名])提交:
首先查看172.16.1.102发送的get请求包
一道简单的流量分析_第6张图片

黑客在index.php中进行了SQL注入攻击在最后访问了upload.php
在post传参的upload.php界面
一道简单的流量分析_第7张图片

找到答案flag{flag.zip}
7、继续查看数据包文件attack.pacapng提取出黑客下载的文件,并将文件里面的内容为FLAG(形式:[文件内容])提交:
追踪上一题流量的tcp流
一道简单的流量分析_第8张图片

发现压缩包数据我们保存原始数据解压即可发现flag
一道简单的流量分析_第9张图片

得到flag

你可能感兴趣的:(ctf刷题纪,tcp/ip)