wireshark流量分析

一、题目一(1.pcap)

题目要求:

1.黑客攻击的第一个受害主机的网卡IP地址

2.黑客对URL的哪一个参数实施了SQL注入

3.第一个受害主机网站数据库的表前缀(加上下划线例如abc)

4.第一个受害主机网站数据库的名字

首先看到SQL注入,那我们便可以想到所用协议为http/https,在此基础上我们对流量进行过滤

wireshark流量分析_第1张图片

 由这张图我们不难得出,202.1.1.2和192.168.1.8出现的次数较多,而注入就需要短时间进行大量的访问,所以不难得出,受害主机IP为192.168.1.8,攻击则为202.1.1.2

得出该结果那么则需要对源IP为202.1.1.2进行分析看在哪个参数进行了注入wireshark流量分析_第2张图片

 对包进行url解码

在这里我们发现注入点list[select]

wireshark流量分析_第3张图片

 我们在对其他包进行分析,不难发现一直在尝试进行注入,且注入工具为sqlmapwireshark流量分析_第4张图片wireshark流量分析_第5张图片

 那么到现在为止我们就需要对流量进行追踪(TCP)数据库名为maridbwireshark流量分析_第6张图片

 这边也已经显示报错,仔细看发现表的前缀为ajtucwireshark流量分析_第7张图片

 最后数据库名则需要关注schema这个单词,一般都回同时出现

 url解码即可的库名joomla

 

你可能感兴趣的:(wireshark,网络,服务器)