中职网络安全2021年国赛Wireshark流量分析题目解析

1.使用Wireshark查看并分析靶机桌面下的capture.pcapng数据包文件，找到黑客的IP地址，并将黑客的IP地址作为Flag值（如：172.16.1.1）提交；

这个找黑客ip地址不用多讲，用tcp.connection.syn找握手包发现是由172.16.1.110给服务器172.16.1.18发起的握手包，所以这一题的答案就是：172.16.1.110

2.继续分析capture.pcapng数据包文件，找出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试，将服务对应的端口依照从小到大的顺序依次排列作为Flag值（如：77/88/99/166/1888）提交；

这一题使用上一题的查找syn握手包再加一个过滤ip的条件，tcp.connection.syn and ip.addr==172.16.1.110。然后只有21.22.23.3306这几个端口，所以这一题的答案就是：21/22/23/3306

3.继续分析capture.pcapng数据包文件，找出黑客已经获取到目标服务器的基本信息，请将黑客获取到的目标服务器主机名作为Flag值提交；

因为上一题看到爆破了23端口telnet服务，所以直接查找telnet的包然后ctrl加f搜索login登陆包，在login:前面的就是服务器的主机号，SecTestLabs login:，所以这题的答案就是SecTestLabs。

4.继续分析capture.pcapng数据包文件，找出黑客成功破解了哪个服务的密码，并将该服务的版本号作为Flag值(如：5.1.10)提交；

使用ip.addr==172.16.1.110 and tcp.port==21/22/23/3306，一个一个找，最后发现3306mysql服务最下面有个登录成功包，所以MySQL就是被破解成功的服务，他的服务版本就在上面所以这题的答案就是：5.7.26

5.继续分析capture.pcapng数据包文件，黑客通过数据库写入了木马,将写入的木马名称作为Flag值提交（名称不包含后缀）；

还是ip.addr==172.16.1.110 and tcp.port==3306，然后ctrl+f，搜索php，或者@eval，就看到文件名和连接密码（下一题的答案）所以答案就是：horse

6.继续分析capture.pcapng数据包文件，黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交；

lqsym

7.继续分析capture.pcapng数据包文件，找出黑客连接一句话木马后查看了什么文件，将黑客查看的文件名称作为Flag值提交；

 

passwd 

继续分析capture.pcapng数据包文件，黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透，成功破解出服务的密码后登录到服务器中下载了一张图片，将图片文件中的英文单词作为Flag值提交。 

 

注意要保存原始文件，然后导出 ；harmony