您的位置:360文档中心› Wireshark数据包分析实战

Wireshark数据包分析实战

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1.Wireshark 数据包分析(1)

1.用Wireshark查看并分析服务器场景PYsystem20191桌面下的capture1.1.pcap数据包文

件,通过分析数据包capture1.1.pcap找出主机MAC地址最后两位为“ad”的经纬度信息,并将经纬度信息作为Flag值(之间以英文逗号分隔,例如

39.906000,116.645000)提交;

过滤规则:

经纬度信息:

2.继续分析数据包capture1.1.pcap,找出目标服务器操作系统的版本信息,并将服务器操

作系统的版本号作为Flag值提交;

步骤1:

步骤2:

找到对应的数据包追踪TCP流

3.继续分析数据包capture1.1.pcap,找出黑客登录的用户名,并将用户名作为Flag值提

交;(现在判断可能是SMB登录)

步骤1:

类似这种排序的数据包为登录成功的数据包

4.继续分析数据包capture1.1.pcap,找出黑客登录使用的密码,并将密码作为Flag值提

交;

步骤1:拼接登录凭证`user::domain:NTLM Server Challenge:NTProofStr:NTLMv2 Response 中去除NTProofStr

步骤2:拼接hash

步骤3:hashcat破解登录凭证,可能是字典破解和暴力破解

5.使用Wireshark查看并分析服务器场景PYsystem20191桌面下的capture1.2.pcap数据包

文件,设置过滤规则,仅显示TCP协议且源端口为23的数据包,并将该过滤规则作为Flag值(提交的答案中不包含空格,例如:ip.dst == 172.16.1.1则Flag为ip.dst==172.16.1.1)提交;

步骤1:tcp.srcport==23

6.继续分析数据包capture1.2.pcap,找出黑客暴力破解Telnet的数据包,将破解成功的用

户名和密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;

步骤1:

步骤2:

登录成功特征,Telnet Server和C:搜索这两个关键词

7.继续分析数据包capture1.2.pcap,找出黑客Telnet成功后输入的命令,并将命令作为

Flag值提交;

步骤1:追踪登录成功的TCP流

步骤2:

ping 192.168.56.129 –n 19

8.继续分析数据包capture1.2.pcap,找出黑客控制了目标靶机后通过靶机向攻击机发送了

多少次ICMP请求,并将请求的次数作为Flag值提交。

步骤1:方法一:直接看ping命令,方法二:查找ICMP包

icmp.type == 8 and icmp.code == 0

2. Wireshark 数据包分析(2)

1.使用Wireshark查看并分析PYsystem20191桌面下的capture

2.pcap数据包文件,通过分

析数据包capture2.pcap,找到黑客攻击Web服务器的数据包,并将黑客使用的IP地址作为Flag值(例如:192.168.10.1)提交;

查找提交的非法参数,确认IP

2.使用Wireshark查看并分析PYsystem20191桌面下的capture2.pcap数据包文件,通过设

置过滤规则,要求只显示三次握手协议过程中的RST包以及实施攻击的源IP地址,将该过滤规则作为Flag值(存在两个过滤规则时,使用and连接,提交的答案中不包含空格,例如tcp.ack and ip.dst == 172.16.1.1则Flag为tcp.ackandip.dst==172.16.1.1)提交;

步骤1:tcp.flags.reset==1andip.src==

3.继续分析数据包capture2.pcap,找到黑客扫描Web服务器的数据包,将Web服务器没

有被防火墙过滤掉的开放端口号作为Flag值(若有多个端口,提交时按照端口号数字的大小排序并用英文逗号分隔,例如:77,88,99,166,1888)提交;

步骤1:

步骤2:确认WEB服务,[80,8080]

4.继续分析数据包capture2.pcap,找到黑客攻击Web服务器的数据包,将Web服务器

Nginx服务的版本号作为Flag值提交;

步骤1:

步骤2:

5.继续分析数据包capture2.pcap,找到黑客攻击Web服务器的数据包,将该服务器网站

数据库的库名作为Flag值提交;

步骤1:

步骤2:

步骤3:

unhex(0x776562)

6.继续分析数据包capture2.pcap,找出黑客成功登录网站后台管理页面所使用的用户名

和密码,将使用的用户名和密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;

步骤1:

http.request.uri contains "login"

一般登录method都是POST

步骤2:

7.继续分析数据包capture2.pcap,找出黑客开始使用sqlmap发起sql注入攻击的时间,

将发起sql注入攻击的时间作为Flag值(例如:16:35:14)提交;

步骤1:

sqlmap的user_agent默认为

步骤2:

第一个数据包

8.继续分析数据包capture2.pcap,找出黑客结束使用sqlmap的时间,将结束使用sqlmap

的时间作为Flag值(例如:16:35:14)提交。

步骤1:

最后一个数据包

相关文档
最新文档