中科磐云—数据分析与取证数据包flag

数据分析与取证

需要可私

1. 使用 Wireshark 查看并分析虚拟机 windows 7 桌面下的 attack.pcapng 数据包文件，通 过分析数据包 attack.pcapng 找出黑客的 IP 地址，并将黑客的 IP 地址作为 FLAG（形式：[IP 地址]）提交：

tcp.connection.syn

通过分析端口，因为黑客都是扫描常用端口的

Flag:[172.16.1.102]

2. 继续查看数据包文件 attack.pacapng，分析出黑客扫描了哪些端口，并将全部的端口作 为 FLAG（形式：[端口名 1,端口名 2,端口名 3…,端口名 n]）从低到高提交：

tcp.connection.syn and ip.src==172.16.1.102

Flag:[21,23,80,445,3389,5007]

3. 继续查看数据包文件 attack.pacapng 分析出黑客最终获得的用户名是什么，并将用户 名作为 FLAG（形式：[用户名]）提交：

http.request.method==POST

Flag:[Lancelot]

4. 继续查看数据包文件 attack.pacapng 分析出黑客最终获得的密码是什么，并将密码作 为 FLAG（形式：[密码]）提交：

http.request.method==POST

flag:[12369874]

5. 继续查看数据包文件 attack.pacapng 分析出黑客连接一句话木马的密码是什么，并将 一句话密码作为 FLAG（形式：[一句话密码]）提交：

Ctrl+f

Flag:[alpha]

6. 继续查看数据包文件 attack.pacapng 分析出黑客下载了什么文件，并将文件名及后缀 作为 FLAG（形式：[文件名.后缀名]）提交：

http.request.method==POST

flag:[flag.zip]

7. 继续查看数据包文件 attack.pacapng 提取出黑客下载的文件，并将文件里面的内容为 FLAG（形式：[文件内容]）提交：

binwalk -eM attack.pcapng

flag:[ flag{Manners maketh man}]