wireshark流量分析

一、题目一(1.pcap)

题目要求：

1.黑客攻击的第一个受害主机的网卡IP地址

2.黑客对URL的哪一个参数实施了SQL注入

3.第一个受害主机网站数据库的表前缀（加上下划线例如abc）

4.第一个受害主机网站数据库的名字

首先看到SQL注入，那我们便可以想到所用协议为http/https,在此基础上我们对流量进行过滤

 由这张图我们不难得出，202.1.1.2和192.168.1.8出现的次数较多，而注入就需要短时间进行大量的访问，所以不难得出，受害主机IP为192.168.1.8，攻击则为202.1.1.2

得出该结果那么则需要对源IP为202.1.1.2进行分析看在哪个参数进行了注入

 对包进行url解码

在这里我们发现注入点list[select]

 我们在对其他包进行分析，不难发现一直在尝试进行注入，且注入工具为sqlmap

 那么到现在为止我们就需要对流量进行追踪（TCP）数据库名为maridb

 这边也已经显示报错，仔细看发现表的前缀为ajtuc

 最后数据库名则需要关注schema这个单词，一般都回同时出现

 url解码即可的库名joomla