流量分析（attack.pcapng）

目录

找出黑客的IP地址

分析出黑客扫描了哪些端口，

分析出黑客最终获得的用户名

分析出黑客最终获得的密码

分析出黑客连接一句话木马的密码是什么

分析出黑客下载了什么文件, 并将文件名及后缀作为FLAG

提取出黑客下载的文件，并将文件里面的内容为FLAG

---

找出黑客的IP地址

首先筛选出http流量查看黑客进行了哪些操作

http

看到这里时能发现黑客堆172.16.1.101进行了sql注入

黑客ip：172.16.1.102

分析出黑客扫描了哪些端口

这里筛选出服务器对黑客的tcp流

ip.str == 192.16.1.101 && ip.dst == 192.16.1.102 && tcp

端口：21  80  23  3389  445  5007

分析出黑客最终获得的用户名

筛选出黑客对服务器的http流量

ip.addr == 172.16.1.102 && http

这里找到了登录成功后服务器返回的流量包，查看黑客对服务器发送的流量包就能知道用户名以及密码

用户名：Lancelot

分析出黑客最终获得的密码

密码：12369874

分析出黑客连接一句话木马的密码是什么

这里就要找出黑客向服务器上传的木马了

一般是找上传页面upload或者直接找黑客对服务器的post传参的数据包

ip.addr == 172.16.1.102 && http.request.method == POST

这里能看到黑客黑客似乎上传了一个去Q.php的后门文件通过传输base64加密后的代码执行命令

密码：alpha

分析出黑客下载了什么文件, 并将文件名及后缀作为FLAG

继续分析黑客通过后门文件的后续操作

读到最后一个数据包时发现黑客下载了位于C:\\phpStudy\\WWW\\fittingroom\\upload\\的flag.zip文件

文件名：flag.zip

提取出黑客下载的文件，并将文件里面的内容为FLAG

将服务器对黑客下载flag.zip的响应包导出

ip.addr == 172.16.1.102

导出字节流

点击这里,   ctrl+shift+x导出字节流,   或者右键导出字节流

解压缩后就能获得flag

做题技巧：

1.大量404请求-》目录扫描

2.大量select...from关键字请求-》sql注入

3.连续一个ip的多端口请求或多个ip的几个相同端口请求-》端口扫描

4.常见的关键字：

Login、admin、manage、edit、upload、eval

assert、POST、select、404、alert