什么是wireshark?
- wiresharek
- hacker1.pcap数据包
wiresharek
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
wireshark的介绍:
假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。
hacker1.pcap数据包
1.登录FTP下载数据包文件hacker1.pacapng,分析出黑客扫描得到的靶机开放的端口,将靶机开放的端口作为FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交;
ip.src == 192.168.10.106 and tcp. flags.reset == 1
flag:[135,139,445,3389,49152,49153,49154,49155,49156,49157]
2.继续查看数据包文件hacker1.pacapng,分析出黑客成功入侵后获得的操作系统的版本号,将操作系统的版本号作为FLAG(形式:[操作系统版本号])提交;
使用过滤器筛选
tcp.connection.syn#找到黑客ip 然后看它的数据流
flag:[6.1.7600]
3.继续查看数据包文件hacker1.pacapng,分析出黑客成功入侵后执行的第一条命令,并将执行的第一条命令作为FLAG(形式:[第一条命令])提交;
flag:[ipconfig]
4.继续查看数据包文件hacker1.pacapng,分析出黑客成功入侵后执行的第二条命令,并将执行的第二条命令作为FLAG(形式:[第二条命令])提交;
flag:[whoami]
5.继续查看数据包文件hacker1.pacapng,分析出黑客成功入侵后执行的第二条命令的返回结果,并将执行的第一条命令返回结果作为FLAG(形式:[第二条命令返回结果])提交;
flag:[nt authoriy\system]
6.继续查看数据包文件hacker1.pacapng,分析出黑客成功入侵后执行的第三条命令的返回结果,并将执行的第三条命令返回结果作为FLAG(形式:[第三条命令返回结果])提交。
flag:[2020/12/12]
