流量分析(attack.pcapng)

目录

找出黑客的IP地址

分析出黑客扫描了哪些端口,

分析出黑客最终获得的用户名

分析出黑客最终获得的密码

分析出黑客连接一句话木马的密码是什么

分析出黑客下载了什么文件, 并将文件名及后缀作为FLAG

提取出黑客下载的文件,并将文件里面的内容为FLAG


找出黑客的IP地址

首先筛选出http流量查看黑客进行了哪些操作

http

看到这里时能发现黑客堆172.16.1.101进行了sql注入

黑客ip:172.16.1.102

流量分析(attack.pcapng)_第1张图片

分析出黑客扫描了哪些端口

这里筛选出服务器对黑客的tcp流

ip.str == 192.16.1.101 && ip.dst == 192.16.1.102 && tcp

端口:21  80  23  3389  445  5007

分析出黑客最终获得的用户名

筛选出黑客对服务器的http流量

ip.addr == 172.16.1.102 && http

这里找到了登录成功后服务器返回的流量包,查看黑客对服务器发送的流量包就能知道用户名以及密码

流量分析(attack.pcapng)_第2张图片

用户名:Lancelot

流量分析(attack.pcapng)_第3张图片

分析出黑客最终获得的密码

密码:12369874

流量分析(attack.pcapng)_第4张图片

分析出黑客连接一句话木马的密码是什么

这里就要找出黑客向服务器上传的木马了

一般是找上传页面upload或者直接找黑客对服务器的post传参的数据包

ip.addr == 172.16.1.102 && http.request.method == POST

这里能看到黑客黑客似乎上传了一个去Q.php的后门文件通过传输base64加密后的代码执行命令

密码:alpha

流量分析(attack.pcapng)_第5张图片

分析出黑客下载了什么文件, 并将文件名及后缀作为FLAG

继续分析黑客通过后门文件的后续操作

读到最后一个数据包时发现黑客下载了位于C:\\phpStudy\\WWW\\fittingroom\\upload\\的flag.zip文件

文件名:flag.zip

流量分析(attack.pcapng)_第6张图片

提取出黑客下载的文件,并将文件里面的内容为FLAG

将服务器对黑客下载flag.zip的响应包导出

ip.addr == 172.16.1.102

流量分析(attack.pcapng)_第7张图片

导出字节流

点击这里,   ctrl+shift+x导出字节流,   或者右键导出字节流

解压缩后就能获得flag

流量分析(attack.pcapng)_第8张图片

做题技巧:

1.大量404请求-》目录扫描

2.大量select...from关键字请求-》sql注入

3.连续一个ip的多端口请求或多个ip的几个相同端口请求-》端口扫描

4.常见的关键字:

Login、admin、manage、edit、upload、eval

assert、POST、select、404、alert

你可能感兴趣的:(流量分析,服务器,网络,运维,流量分析)