1.使用Wireshark查看并分析Windows 7桌面下的attack.pcapng数据包文件，通过分析数据包attack.pcapng找出恶意用户的IP地址，并将恶意用户的IP地址作为Flag（形式：[IP地址]）提交：

http.request.method==POST

Flag:[172.16.1.102]

2.继续查看数据包文件attack.pacapng，分析出恶意用户扫描了哪些端口，并将全部的端口作为Flag（形式：[端口名1，端口名2，端口名3…，端口名n]）从低到高提交：

Ip.src==172.16.1.102 and ip.dst==172.16.1.101 and tcp

①

这样找起来比较麻烦，但也能找出来

②

统计—端点

进行统计后能够更好更直观的看到结果（别忘了显示过滤器的限制）

Flag:[21,23,80,445,3389,5007]

3.继续查看数据包文件attack.pacapng分析出恶意用户最终获得的用户名是什么，并将用户名作为Flag（形式：[用户名]）提交：  

http contains “login.php” 

Flag:[Lancelot]

4.继续查看数据包文件attack.pacapng分析出恶意用户最终获得的密码是什么，并将密码作为Flag（形式：[密码]）提交：

http contains "login.php"

flag:[12369874]

5.继续查看数据包文件attack.pacapng分析出恶意用户连接一句话木马的密码是什么，并将一句话密码作为Flag（形式：[一句话密码]）提交：

http contains “POST”

 

Flag:[alpha]

6.继续查看数据包文件attack.pacapng分析出恶意用户下载了什么文件，并将文件名及后缀作为Flag（形式：[文件名.后缀名]）提交：   

http contains "POST"

Flag:[flag.zip]

7.继续查看数据包文件attack.pacapng将恶意用户下载的文件里面的内容作为Flag（形式：[文件内容]）提交 :  

binwalk -e 数据包                              #文件提取

Flag:[ flag{Manners maketh man}]