因为这个是溯源报告 我自己想的题目,答案仅供参考,文章同步CSDN
01
1.使用Wireshark查看并分析networ.pcapng数据包文件,通过分析数据包找出黑客的IP地址.
直接使用过滤规则: 显示TCP第一个回显的数据包
tcp.connection.syn FLAG:192.168.1.1
02
2.使用Wireshark查看并分析networ.pcapng数据包文件,通过分析数据包networ.pcapng找出黑客扫描了哪些端口.
使用过滤规则:筛选源ip的tcp协议
ip.src==192.168.1.1&&tcpFALG:8083
03
3.使用Wireshark查看并分析networ.pcapng数据包文件,通过分析数据包networ.pcapng文件找出黑客上传或者下载了什么文件,将文件名作为FLAG提交.
直接使用过滤规则:
ip.src==192.168.1.1&&http.request.method==GET
这里存在XSS跨站脚本攻击以及导出HTTP流看到的Sql注入流量都没啥用。
看POST请求,最后4条是POST 然后通过图片上传一句话木马 所以我们可以判断 他是上传了 图片
FLAG:admin
04
4.使用Wireshark查看并分析networ.pcapng数据包文件,通过分析数据包networ.pcapng分析出恶意用户上传的一句话木马的密码是什么,并将一句话密码作为 Flag(形式:[一句话密码])提交;
筛选HTTP数据流ctrl+F直接搜upload 或者函数eval 这里查看流 发现上传了test.php的一句话
FLAG:hacker
05
5.使用Wireshark查看并分析networ.pcapng数据包文件,通过分析数据包networ.pcapng文件找出黑客获取到的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;
直接可以在HTTP数据流查看到 账号和密码
FLAG:admin,1234567
06
6.使用Wireshark查看并分析networ.pcapng数据包文件,通过分析数据包networ.pcapng文件找出黑客登录后查看了什么文件的路径作为FLAG提交.
导出http流最后一条流量就是,图片提取出来,数据流直接可以看到路径。
FLAG:hackable/users/admin.jpg