记一次某2021年中职网络安全国赛Wireshark流量分析题目解题过程

1.使用Wireshark查看并分析靶机桌面下的capture.pcapng数据包文件，找到黑客的IP地址，并将黑客的IP地址作为Flag值（如：172.16.1.1）提交；

找IP的就不再多说，HTTP握手协议和TCP握手协议都可
http
tcp.connection.syn

答案：172.16.1.110

2.继续分析capture.pcapng数据包文件，找出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试，将服务对应的端口依照从小到大的顺序依次排列作为Flag值（如：77/88/99/166/1888）提交；

在syn握手包上继续添加过滤条件 过滤来源IP也就是黑客的IP地址
tcp.connection.syn and ip.src == 172.16.1.110

答案：21/22/23/80/3306

3.继续分析capture.pcapng数据包文件，找出黑客已经获取到目标服务器的基本信息，请将黑客获取到的目标服务器主机名作为Flag值提交；

检索tcp协议下的login关键字或查看telnet协议即可
login前缀就是主机名
telnet 22或23是搞登录的
tcp contains "login"
telnet

答案：SecTestLabs

4.继续分析capture.pcapng数据包文件，找出黑客成功破解了哪个服务的密码，并将该服务的版本号作为Flag值(如：5.1.10)提交；

添加过滤条件过滤来源目的IP均为172.16.1.110的IP
并添加过滤tcp协议端口
一个一个协议的试
ip.addr == 172.16.1.110 && tcp.port == 21/22/23/80/3306 

答案：5.7.26

5.继续分析capture.pcapng数据包文件，黑客通过数据库写入了木马,将写入的木马名称作为Flag值提交（名称不包含后缀）；

查看黑客登录MySQL服务成功后都干了啥一个一个的找
ip.addr == 172.16.1.110 && tcp.port == 3306 and mysql

答案：horse

6.继续分析capture.pcapng数据包文件，黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交；

答案：lqsym

7.继续分析capture.pcapng数据包文件，找出黑客连接一句话木马后查看了什么文件，将黑客查看的文件名称作为Flag值提交；

添加过滤条件过滤HTTP协议分组中包含horse关键字的分组
http contains "horse"
可以看到符合条件的有三个分组
第一个是查看etc目录的
第二个和第三个是一样的
双击第二分组或第三分组可以看到是类似burp的抓包数据
末尾是黑客写的木马用来查看目录文件内容但是被base64加密了
base64解码即可

答案：passwd

8.继续分析capture.pcapng数据包文件，黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透，成功破解出服务的密码后登录到服务器中下载了一张图片，将图片文件中的英文单词作为Flag值提交。

下载需要涉及ftp-data协议
过滤ftp-data协议即可
ftp-data
追踪流TCP
原始数据
另存到桌面即可

答案：harmony