wireshark 流量抓包例题

文章目录

  • 题目一(1.pcap)
    • 题目要求:
    • 答案

题目一(1.pcap)

题目要求:

1.黑客攻击的第一个受害主机的网卡IP地址

2.黑客对URL的哪一个参数实施了SQL注入

3.第一个受害主机网站数据库的表前缀(加上下划线例如abc)

4.第一个受害主机网站数据库的名字

1、因为是SQL注入,所以我们首先过滤http和https协议

然后,可以看到,202.1.1.2和 192.168.1.8这两个IP出现的次数较多,同时,也可以知道是202.1.1.2对192.168.1.8进行了攻击
wireshark 流量抓包例题_第1张图片

那么第一个问题的答案——受害者的IP地址是192.168.1.8

2、随便查看一个202.1.1.2的http请求包

wireshark 流量抓包例题_第2张图片

再进行urlcode解码后,可以看到黑客试图构造一个存储型XSS

option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(&XfqR=2916 AND 1=1 UNION ALL SELECT 1,NULL,'',tab

查看另外一个包,发现黑客的注入点为list[select]

option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(" OR (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x71717a7671,(SELECT (ELT(883

然后,追踪一个SQL注入的TCP流,可以看到数据库为MariaDB,而且表前缀为ajtuc_

wireshark 流量抓包例题_第3张图片

寻找数据库名的话,那么就查找url中包含schema关键字的字段,再对其进行解码,为joomla

wireshark 流量抓包例题_第4张图片

答案

1.黑客攻击的第一个受害主机的网卡IP地址
192.168.1.8
2.黑客对URL的哪一个参数实施了SQL注入
list[select]
3.第一个受害主机网站数据库的表前缀(加上下划线例如abc_)
ajtuc_
4.第一个受害主机网站数据库的名字
joomla

你可能感兴趣的:(安全,wireshark)