一道简单的流量分析

流量附件提取
链接：https://pan.baidu.com/s/1oHSbIFiqs6ENmqykzFkEKg
提取码：do7s

1、 使用Wireshark查看并分析attack.pcapng数据包文件，通过分析数据包attack.pcapng找出黑客的IP地址，并将黑客的IP地址作为FLAG（形式：[IP地址]）提交：
我们使用http.request.method == GET这个方法来过滤一下GET请求包

发现两个登录页面的请求包一个是172.16.1.10向172.16.1.101发出的请求 一个是172.16.1.102向172.16.1.10发出的请求但是都没有关于用户名密码的相关信息再试试POST方法

在这里我们发现了用户名密码基本确定黑客ip 172.16.1.102
所以这一小解答案为:flag{172.16.1.102}
2、 继续查看数据包文件attack.pacapng，分析出黑客扫描了哪些端口，并将全部的端口作为FLAG（形式：[端口名1，端口名2，端口名3…，端口名n]）从低到高提交
筛选源ip是172.16.1.102并且是tcp协议（备注：nmap扫描端口是基于tcp）的流量包
ip.src==172.16.1.102&&tcp

这样答案就出来了
flag{21，23，80，445，3389，5007}
3、继续查看数据包文件attack.pacapng分析出黑客最终获得的用户名是什么，并将用户名作为FLAG（形式：[用户名]）提交：
这题就比较简单的了我们去第一题中就能找到对应的解题思路，我再这里再演示一遍

得到答案flag{Lancelot}
4、继续查看数据包文件attack.pacapng分析出黑客最终获得的密码是什么，并将密码作为FLAG（形式：[密码]）提交：(图请见上一题中的图)
flag{12369874}
5、继续查看数据包文件attack.pacapng分析出黑客连接一句话木马的密码是什么，并将一句话密码作为FLAG（形式：[一句话密码]）提交：
一句话木马的一半格式就为那我尝试一下过滤一下POST请求方式试一下

在3778帧的数据包处发现了一句话木马POST的密码答案即为
flag{z0}
6、继续查看数据包文件attack.pacapng分析出黑客下载了什么文件，并将文件名及后缀作为FLAG（形式：[文件名.后缀名]）提交：
首先查看172.16.1.102发送的get请求包

黑客在index.php中进行了SQL注入攻击在最后访问了upload.php
在post传参的upload.php界面

找到答案flag{flag.zip}
7、继续查看数据包文件attack.pacapng提取出黑客下载的文件，并将文件里面的内容为FLAG（形式：[文件内容]）提交：
追踪上一题流量的tcp流

发现压缩包数据我们保存原始数据解压即可发现flag

得到flag