wirehark数据分析与取证logs.pcapng

什么是wireshark？

wiresharek
logs.pcapng数据包
数据包下载请私信博主

wiresharek

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包，并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

wireshark的介绍：

假设您是一名网络安全工程师，需要对某公司的公司进行数据分析，分析黑客获取电脑权限进行的操作，我们本章主要以分析案例数据包进行分析关键数据。

logs.pcapng数据包

1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件，通过分析数据包logs.pacapng找出恶意用户目录扫描的第9个文件，并将该文件名作为FLAG（形式：[robots.txt]）提交；

筛选http流看第九个文件

[star.php]

2.继续查看数据包文件logs.pacapng，分析出恶意用户扫描了哪些端口，并将全部的端口作为FLAG（形式：[端口名1，端口名2，端口名3…，端口名n]）从低到高提交；

使用过滤规则ip.src == 172.16.1.10 and tcp.flags.syn == 3 tcp3次握手扫描

flag：[21,80,445,1433,3306,3389,5000]

3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么，并将该文件名作为FLAG（形式：[robots.txt]）提交；

flag：[name.txt]

4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么，并将该路径作为FLAG（形式：[/root/whoami/]）提交；

flag：[C:/phpstudy/www/]

5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么，并将一句话密码作为FLAG（形式：[一句话密码]）提交；

flag：[007]

6.继续查看数据包文件logs.pacapng分析出恶意用户下载了什么文件，并将文件名及后缀作为FLAG（形式：[文件名.后缀名]）提交；

flag：[flag.zip]

7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为FLAG（形式：[文件内容]）提交；

[flag{Find You!}]

数据包下载请私信博主

希望对大家有所帮助，多多支持，也祝大家新的一年学业进步，每天开心☺！