wiresharek

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包，并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

wireshark的介绍：

假设您是一名网络安全工程师，需要对某公司的公司进行数据分析，分析黑客获取电脑权限进行的操作，我们本章主要以分析案例数据包进行分析关键数据。

dump.pcap数据包

使用Wireshark抓包分析dump.pcapng数据包文件，找到了黑客的IP地址，改为黑客的IP地址作为标记值（如：172.16.1.1）提交；

使用过滤器筛选tcp.connection.syn

flag:172.16.1.110

2.通过分析数据包文件dump.pcapng分析出黑客通过工具对目标服务器的某个服务进行了密码暴力枚举渗透测试，将服务对应的端口按照从小到大的顺序依次排列为标志值（如：77） / 88/99/166/1888）提交；

使用过滤规则tcp.connection.syn和ip.src == 172.16.1.110

flag：21/22/23/3306

3.通过分析数据包文件dump.pcapng，发现黑客已经获取到目标服务器基本信息，窃取黑客获取到目标服务器主机名作为标记值提交；

使用过滤规则ip.addr == 172.16.1.110，并且telnet包含“登录名”，

flag：SecTestLabs

4.黑客扫描后可能首先对目标服务器的某个服务实施了攻击，继续查看数据包文件dump.pcapng分析出黑客成功破解了其中服务的密码，将该服务的版本号作为标记值（如： 5.1.10）提交；

使用过滤器ip.addr == 172.16.1.110 and tcp.port == 3306 然后选中一条mysql 查看tcp数据流

flag：5.7.26

5.继续分析数据包文件dump.pcapng，黑客通过数据库写入了木马，将写入的木马名称作为标志值提交（名称不包含后缀）；

继续使用上面的过滤规则继续查看这一条数据包 查看tcp数据流

flag：horse

6.继续分析数据包文件dump.pcapng，黑客通过数据库写入了木马，将黑客写入的一句话木马的连接密码作为标记值提交；

同上继续看这个数据包的数据流里面有 连接的密码

flag：lqsym

7.继续分析数据包文件dump.pcapng，发现黑客连接一句话木马后查看了什么文件，将黑客查看的文件名作为标记值提交；

黑客上传的一句话木马horse.php，根据这个提示，我们接下来对包含horse.php分段的http协议的数据包进行过滤，公式为http包含“
horse.php”

依次对这三个数据包进行追踪流的操作，发现最后两个会话流中都遍历了/ etc / passwd文件。

从上面的步骤中我们可以发现黑客查看了passwd文件，通过分析文件可以看到有一个suictsr247用户

flag：passwd

8.继续分析数据包文件dump.pcapng，黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透，成功破解出服务的密码后登录到服务器中下载了一张图片，将图片文件中的英文单词作为标记值提交。

使用快捷键Ctrl + F打开数据包显示过滤器，搜索字符串为suictsr247的数据包

发现黑客对目标目标机实施的FTP暴力破解，使用过滤规则ftp包含“ 230”进行过滤，过滤出响应返回值230即成功登录ftp服务器的数据包。

过滤后发现有登录成功的提示（登录成功），黑客已经获得了ftp服务器的密码，并成功登录到了靶机的服务器中。对上面的数据包进行追踪流

会话流中我们发现了flag.jpg的文件大小为56489字节即接近56kb大小的文件极有可能为下载的图片文件，下面使用过滤公式ftp-data来过滤服务器发送数据的流量。

查看tcp数据追踪流 选中原始数据 然后另存为jpg 文件进行查看

flag：harmony

数据包下载 请私信博主

最后祝大家每天开心，希望对大家有所帮助！