数 据 分 析 1

1.使用Wireshark查看并分析靶机桌面下的capture.pcapng数据包文件，找到黑客的IP地址，并将黑客的IP地址作为Flag值（如：172.16.1.1）提交；172.16.1.41
查找：tcp.connection.syn   

2.继续分析capture.pcapng数据包文件，找出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试，将服务对应的端口依照从小到大的顺序依次排列作为Flag值（如：77/88/99/166/1888）提交；

查找：tcp.connection.syn and ip.addr==172.16.1.41

23,22,80,21，3306，445,1433

21/22/23/80/445/1433/3306

3.继续分析capture.pcapng数据包文件，找出黑客已经获取到目标服务器的基本信息，请将黑客获取到的目标服务器主机名作为Flag值提交；SecTestLabs

Telnet

右键tcp追踪流

4.继续分析capture.pcapng数据包文件，找出黑客成功破解了哪个服务的密码，并将该服务的版本号作为Flag值(如：5.1.10)提交；5.7.26           mysql.command 过滤出MySQL执行的命令

5.继续分析capture.pcapng数据包文件，黑客通过数据库写入了木马,将写入的木马名称作为Flag值提交（名称不包含后缀）；horse

查找：mysql.command

6.继续分析capture.pcapng数据包文件，黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交；lqsym

7.继续分析capture.pcapng数据包文件，找出黑客连接一句话木马后查看了什么文件，将黑客查看的文件名称作为Flag值提交；passwd
查找：http contains"horse.php"

右键查看TCP追踪流

64位解码看到一个文件

8.继续分析capture.pcapng数据包文件，黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透，成功破解出服务的密码后登录到服务器中下载了一张图片，将图片文件中的英文单词作为Flag值提交。harmony

tcp contains”suictsr247” 

FTP登录成功的返回码是230

ftp contains”230”

将文件保存到桌面并查看