1、使用Wireshark查看并分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交:
解:
首先筛选一下http协议的get传参和post传参的数据包
http.request.methodGET
发现了两个登录界面的数据包,一个是172.16.1.10向172.16.1.101请求的,另一个是172.16.1.102向172.16.1.101请求的,但是都没有在里面找到用户名和密码,估计是post传参
http.request.methodPOST
在172.16.1.102发往172.16.1.101的数据包中中找到了登录的用户密和密码,所以黑客的ip地址是172.16.1.102
flag{172.16.1.102}2、继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交:
解:
筛选源ip是172.16.1.102和采用tcp协议(nmap扫描端口基于tcp协议)的数据包
ip.src==172.16.1.102&&tcp
看到扫描的接口有21,80,23,3389,445,5007
关于nmap扫描端口的流量详细看这篇文章
flag{21,23,80,445,3389,5007}3、继续查看数据包文件attack.pacapng分析出黑客最终获得的用户名是什么,并将用户名作为FLAG(形式:[用户名])提交:
解:
第一步中在3745包中找到了用户名和密码
flag{Lancelot}
4、继续查看数据包文件attack.pacapng分析出黑客最终获得的密码是什么,并将密码作为FLAG(形式:[密码])提交:
解:
看第3题的图
flag{12369874}
5、继续查看数据包文件attack.pacapng分析出黑客连接一句话木马的密码是什么,并将一句话密码作为FLAG(形式:[一句话密码])提交:
解:在3778帧的数据包中找到了一句话木马
flag{@eval(base64_decode($_POST[z0]));}6、继续查看数据包文件attack.pacapng分析出黑客下载了什么文件,并将文件名及后缀作为FLAG(形式:[文件名.后缀名])提交:
解:
首先查看172.16.1.102发送的get请求包
ip.src172.16.1.102&&http.request.methodGET
黑客对index.php界面进行了sql注入,访问了upload.php
看一下post传参的upload.php界面
ip.src172.16.1.102&&http.request.methodPOST
访问了C : \ \phpstudy\ \wiw \ \fittingroom\ lupload\flag.zip,下载的是flag.zip
flag{flag.zip}7、继续查看数据包文件attack.pacapng提取出黑客下载的文件,并将文件里面的内容为FLAG(形式:[文件内容])提交:
解:
右击第6题中的数据包,追踪tcp流,保存原始数据,然后打开
flag{Manners maketh man}
