流量分析—ctf

题目介绍

该题为流量分析，当黑客入侵我们的网络是，我们可以需要通过一系列分析操作来进行抓捕与追踪，本题目难度中等偏下，不是很有难度，但题目类型较为全面，适合入手当做练习。

一、题目背景

某公司内网网络被黑客渗透，简单了解，黑客首先攻击了一台web服务器，破解了后台的账户密码，随之利用破解的账号密码登陆了mail系统，然后获取了的申请方式，然后登陆了，在内网pwn掉了一台打印机，请根据提供的流量包回答下面有关问题

二、关卡列表

1 某公司内网网络被黑客渗透，请分析流量，给出黑客使用的扫描器
2 某公司内网网络被黑客渗透，请分析流量，得到黑客扫描到的登陆后台是(相对路径即可)
3 某公司内网网络被黑客渗透，请分析流量，得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
4 某公司内网网络被黑客渗透，请分析流量，得到黑客上传的webshell文件名是，内容是什么,提交webshell内容的base编码
5 某公司内网网络被黑客渗透，请分析流量，黑客在robots.txt中找到的flag是什么
6 某公司内网网络被黑客渗透，请分析流量，黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透，请分析流量，黑客在数据库中找到的hash_code是什么
8 某公司内网网络被黑客渗透，请分析流量，黑客破解了账号[email protected]得到的密码是什么
9 某公司内网网络被黑客渗透，请分析流量，被黑客攻击的web服务器，网卡配置是是什么，提交网卡内网ip
10 某公司内网网络被黑客渗透，请分析流量，黑客使用了什么账号登陆了mail系统（形式: username/password）
11某公司内网网络被黑客渗透，请分析流量，黑客获得的的ip是多少

详细解题过程与思路

1.黑客使用的扫描器

我们首先应该了解常用的扫描器(Awvs，Netsparker，Appscan，Webinspect，Rsas，Nessus，WebReaver，Sqlmap)
利用wireshark抓包工具打开webone.pcap数据包，按照协议类型排序一下，看到http协议的时候，发现了明显的awvs的特征
打开webone.pcap数据包 ，使用 http contains acunetix 发现了很多awvs的特征，说明是用awvs进行扫描的
http contains “wvs” //搜索关键字，我们知道黑客采用awvs扫描器

2、黑客扫描到的登陆后台

登陆后台99%使用的是POST方法，直接使用过滤器过滤一下，然后追踪TCP流，看到302重定向，基本就是登陆成功了
http.request.method==“POST” //TCP追踪流我们可以看出黑客登录的后台为login