2023年7月24日发(作者：)

ark 数据包分析(1)

1. 用Wireshark查看并分析服务器场景PYsystem20191桌面下的数据包文件，通过分析数据包找出主机MAC地址最后两位为“ad”的经纬度信息，并将经纬度信息作为Flag值（之间以英文逗号分隔，例如39.906000,116.645000）提交；

过滤规则:

经纬度信息:

2. 继续分析数据包，找出目标服务器操作系统的版本信息，并将服务器操作系统的版本号作为Flag值提交；

步骤1：

步骤2：

找到对应的数据包追踪TCP流

3. 继续分析数据包，找出黑客登录的用户名，并将用户名作为Flag值提交；（现在判断可能是SMB登录）

步骤1：

类似这种排序的数据包为登录成功的数据包

4. 继续分析数据包，找出黑客登录使用的密码，并将密码作为Flag值提交；

步骤1：拼接登录凭证`user::domain:NTLM Server Challenge: NTProofStr: NTLMv2 Response中去除NTProofStr

步骤2：拼接hash

步骤3：hashcat破解登录凭证，可能是字典破解和暴力破解

5. 使用Wireshark查看并分析服务器场景PYsystem20191桌面下的数据包文件，设置过滤规则，仅显示TCP协议且源端口为23的数据包，并将该过滤规则作为Flag值（提交的答案中不包含空格，例如： == 172.16.1.1则Flag为==172.16.1.1）提交；

步骤1：t==23

6. 继续分析数据包，找出黑客暴力破解Telnet的数据包，将破解成功的用户名和密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交；

步骤1：

步骤2： 登录成功特征，Telnet Server和C:搜索这两个关键词

7. 继续分析数据包，找出黑客Telnet成功后输入的命令，并将命令作为Flag值提交；

步骤1：追踪登录成功的TCP流

步骤2：

ping 192.168.56.129 –n 19

8. 继续分析数据包，找出黑客控制了目标靶机后通过靶机向攻击机发送了多少次ICMP请求，并将请求的次数作为Flag值提交。

步骤1：方法一：直接看ping命令，方法二：查找ICMP包

== 8 and == 0

2. Wireshark 数据包分析(2)

1. 使用Wireshark查看并分析PYsystem20191桌面下的数据包文件，通过分析数据包，找到黑客攻击Web服务器的数据包，并将黑客使用的IP地址作为Flag值（例如：192.168.10.1）提交；

查找提交的非法参数，确认IP

2. 使用Wireshark查看并分析PYsystem20191桌面下的数据包文件，通过设置过滤规则，要求只显示三次握手协议过程中的RST包以及实施攻击的源IP地址，将该过滤规则作为Flag值（存在两个过滤规则时，使用and连接，提交的答案中不包含空格，例如 and == 172.16.1.1则Flag为==172.16.1.1）提交；

步骤1：====

3. 继续分析数据包，找到黑客扫描Web服务器的数据包，将Web服务器没有被防火墙过滤掉的开放端口号作为Flag值（若有多个端口，提交时按照端口号数字的大小排序并用英文逗号分隔，例如：77,88,99,166,1888）提交；

步骤1：

步骤2：确认WEB服务，[80，8080]

4. 继续分析数据包，找到黑客攻击Web服务器的数据包，将Web服务器Nginx服务的版本号作为Flag值提交； 步骤1：

步骤2：

5. 继续分析数据包，找到黑客攻击Web服务器的数据包，将该服务器网站数据库的库名作为Flag值提交；

步骤1：

步骤2：

步骤3：

unhex(0x776562)

6. 继续分析数据包，找出黑客成功登录网站后台管理页面所使用的用户名和密码，将使用的用户名和密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交；

步骤1：

contains "login"

一般登录method都是POST

步骤2：

7. 继续分析数据包，找出黑客开始使用sqlmap发起sql注入攻击的时间，将发起sql注入攻击的时间作为Flag值（例如：16:35:14）提交；

步骤1：

sqlmap的user_agent默认为sqlmap/1.1.11#stable ()

步骤2：

第一个数据包

8. 继续分析数据包，找出黑客结束使用sqlmap的时间，将结束使用sqlmap的时间作为Flag值（例如：16:35:14）提交。

步骤1：

最后一个数据包

任务 3. Wireshark 数据包分析(3)

1. 使用Wireshark查看并分析PYsystem20191桌面下的数据包文件，找出黑客登录被攻击服务器网站后台使用的账号密码，并将黑客使用的账号密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交；

步骤1：

步骤2：

2. 继续分析数据包，找出黑客攻击FTP服务器后获取到的三个文件，并将获取到的三个文件名称作为Flag值（提交时按照文件下载的时间的先后顺序排序，使用/分隔，例如：a/b/c）提交；

步骤1：

3. 继续分析数据包，找出黑客登录服务器后台上传的一句话木马，并将上传的一句话木马的文件名称作为Flag值（例如：muma）提交；

方式1：过滤HTTP POST请求数据

菜刀默认是POST请求

方式2：直接搜索eval关键字 4. 继续分析数据包，找出黑客上传的一句话木马的连接密码，并将一句话木马的连接密码作为Flag值（例如：abc123）提交；

步骤1：

5. 继续分析数据包，找出黑客上传一句话木马后下载的服务器关键文件，并将下载的关键文件名称作为Flag值提交；

步骤1：

找到文件内容，base64解码看菜刀执行的命令，得知文件名是$_POST[x1]

步骤2： 解码$_POST[x1]

最终获取文件名称:

C:/phpStudy/PHPTutorial/WWW/upload/

6. 继续分析数据包，找出黑客第二次上传的木马文件，并将该木马文件的连接密码作为Flag值（例如：abc123）提交；

步骤1：

这是菜刀上传成功的特征,查看HTTP流，获取菜刀数据

步骤2：

base64解码菜刀数据，获取上传文件的源码

7. 继续分析数据包，找出黑客通过木马使用的第一条命令，并将该命令作为Flag值提交；

步骤1：

步骤2：

8.继续分析数据包，找出黑客控制了受害服务器后通过受害服务器向自己发送了多少次ICMP请求，并将请求的次数作为Flag值提交。

步骤1：

任务 4. Wireshark 数据包分析(4)

1. 使用Wireshark查看并分析PYsystem20191桌面下的数据包文件，找出黑客获取到的可成功登录目标服务器FTP的账号密码，并将黑客获取到的账号密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交；

步骤1：

这里不确定获取账号密码的方式是什么，所以直接从登录成功的包里面找账号密码

步骤2：

2. 继续分析数据包，找出黑客使用获取到的账号密码登录FTP的时间，并将黑客登录FTP的时间作为Flag值（例如：14:22:08）提交；

步骤1：

3. 继续分析数据包，找出黑客连接FTP服务器时获取到的FTP服务版本号，并将获取到的FTP服务版本号作为Flag值提交；

步骤1：

4. 继续分析数据包，找出黑客成功登录FTP服务器后执行的第一条命令，并将执行的命令作为Flag值提交;

步骤1： 追踪登录成功的TCP流

步骤2：

第一条是LIST，对应的命令是dir，这里要背ftp的命令

5. 继续分析数据包，找出黑客成功登录FTP服务器后下载的关键文件，并将下载的文件名称作为Flag值提交；

步骤1：

6. 继续分析数据包，找出黑客暴力破解目标服务器Telnet服务并成功获取到的用户名与密码，并将获取到的用户名与密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交；

步骤1：

步骤2：

7. 继续分析数据包，找出黑客在服务器网站根目录下添加的文件，并将该文件的文件名称作为Flag值提交；

步骤1：

追踪登录成功的TCP流，查看执行的命令

8. 继续分析数据包，找出黑客在服务器系统中添加的用户，并将添加的用户名与密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交。

步骤1：