1703天 博客通用头像 Edwiin

本人熟练掌握linux,windows的开关机,擅长nfs,samba,ftp,dhcp,bind,apache,mail等各项服务的安装与卸载,精通shell,mysql,iptables,selinux等单词的拼写,了解虚拟化,存储,集群等相关汉字的书写。

2019年全国职业院校技能大赛网络空间安全大赛Wireshark数据包分析题解(模拟)

发布于 5个月前 / 96 次围观 / 5 条评论 / CTF / Edwiin
本文最后更新于2020-5-13,已超过 1 个月没有更新,如果文章内容或图片资源失效,请【留言反馈】,我会及时处理,谢谢!

1.1题

1.使用Wireshark查看分析服务器场景PYsystem20191桌面下的capture1.1.pcap数据包文件,通过分析数据包capture1.1.pcap找出主机MAC地址最后两位为“ad”的经纬度信息,并将经纬度信息作为Flag值(之间以英文逗号分隔,例如:39.906000,116.645000)提交

答案见图

1.2题

继续分析数据包capture1.1.pcap,找出目标服务器操作系统版本信息,并将服务器操作系统版本信息作为Flag值提交

Ctrl+F打开搜索,搜索关键字Windows

1.3题

继续分析数据包capture1.1.pcap,找出黑客登录的用户名,并将用户名作为Flag值提交

分析是什么协议的,这里为smb协议。

1.4题

继续分析数据包capture1.1.pcap,找出黑客登录使用的密码,并将密码作为Flag值提交

SMB的密码要拼接内容比较麻烦,我这里是直接字典一个一个试,莽就完事了。

1.5题

使用Wireshark查看分析服务器场景PYsystem20191桌面下的capture1.2.pcap数据包文件,设置过滤规则,仅显示TCP协议且源端口为23的数据包,并将该过滤规则作为Flag值(提交的答案中不包含空格,例如:ip.dst == 172.16.1.1则Flag为ip.dst==172.16.1.1)提交

tcp协议src是源port是端口==是值等于23,他这个题目有问题提交tcp.port==23才可以

1.6题

继续分析数据包capture1.2.pcap,找出黑客暴力破解Telnet数据包,将破解成功的用户名和密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交

首先筛选协议telnet

拉到底部然后随便选一个包,右键追踪tcp流,因为在底部都是已经连接上去的就不用一个一个去翻了。可能因为是windows所以参数会出现重复自己去掉一下。

1.7题

继续分析数据包capture1.2.pcap,找出黑客Telnet成功后输入的命令,并将命令作为Flag值提交

通过追踪tcp流可以看到执行的是ping 跟 exio和exit

题目要求执行成功的命令有多个命令用英文逗号隔开

答案为ping,exit

2.1题

使用Wireshark查看分析PYsystem20191桌面下的capture3.pcap数据包文件,找出黑客登录被攻击服务器网站后台使用的账号密码,并将黑客使用的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交

题目要求网站后台使用的账号密码,筛选协议http

思路是,前面都是在登入页面,下面突然有了其他页面,那么就是登入成功后就有其他页面,看一下最后一次登入页面发的包得到账号密码

2.2题

继续分析数据包capture3.pcap,找出黑客攻击FTP服务器后获取到的三个文件,并将获取到的三个文件名称作为Flag值(提交时按照文件下载的时间的先后顺序排序,使用/分隔,例如:a/b/c)提交

找出黑客攻击的FTP服务器获取3个文件,筛选Ftp协议,跟上面一样拉到最底下然后选一个包追踪流

题目要求文件名没要求后缀名提交时要注意

2.3题

继续分析数据包capture3.pcap,找出黑客登录服务器后台上传的一句话木马,并将上传前的一句话木马的文件名称作为Flag值(例如:muma)提交

找出黑客登入服务器后上传的一句话木马

有设备的都知道FileSharing.php是上传的页面直接找这个

2.4题

继续分析数据包capture3.pcap,找出黑客上传的一句话木马的连接密码,并将一句话木马的连接密码作为Flag值(例如:abc123)提交

找出黑客上传的一句话木马的连接密码,一个菜刀的操作包




2.5题

继续分析数据包capture3.pcap,找出黑客上传一句话木马下载服务器关键文件,并将下载的关键文件名称作为Flag值提交

因为用菜刀下载都是base64加密需要解密一下




2.6题

继续分析数据包capture3.pcap,找出黑客第二次上传的木马文件,并将该木马文件的连接密码作为Flag值(例如:abc123)提交

拉到底部可以看到一个明显的数据包带了pwd参数



2.7题

继续分析数据包capture3.pcap,找出黑客通过木马使用的第一条命令,并将该命令作为Flag值提交

找出黑客通过木马使用的第一条命令,可以看到下面有一个包参数里面带了cmd内容是base64加密解密一下就得到

2.8题

继续分析数据包capture3.pcap,找出黑客控制了受害服务器后通过受害服务器向自己发送了多少次ICMP请求,并将请求的次数作为Flag值提交

首先确定服务器ip,然后筛选icmp协议然后筛选发送方为服务器,得到数据包然后数一下

3.1题

使用Wireshark查看分析PYsystem20191桌面下的capture2.pcap数据包文件,通过分析数据包capture2.pcap,找到黑客攻击Web服务器数据包,并将黑客使用的IP地址作为Flag值(例如:192.168.10.1)提交

黑客使用的IP地址作为Flag值,筛选http协议看看哪一个ip一直访问网页得到黑客ip

3.2题

使用Wireshark查看分析PYsystem20191桌面下的capture2.pcap数据包文件,通过设置过滤规则,要求只显示三次握手协议过程中的RST包以及实施攻击的源IP地址,将该过滤规则作为Flag值(存在两个过滤规则时,使用and连接,提交的答案中不包含空格,例如tcp.ack and ip.dst == 172.16.1.1则Flag为tcp.ackandip.dst==172.16.1.1)提交

要求只显示三次握手协议过程中的RST包以及实施攻击的源IP地址,将该过滤规则作为Flag值

先找到一个RST包,

得到tcp.flags.reset == 1

以及实施攻击的源IP地址 and ip.src==192.168.13.129,拼接得到 tcp.flags.reset == 1 and ip.src==192.168.13.129,提交时把空格去掉

3.3题

继续分析数据包capture2.pcap,找到黑客扫描Web服务器数据包,将Web服务器没有被防火墙过滤掉的开放端口号作为Flag值(若有多个端口,提交时按照端口号数字的大小排序并用英文逗号分隔,例如:77,88,99,166,1888)提交

tcp.flags.reset == 1 and tcp.srcport and ip.dst==192.168.13.128

3.4题

继续分析数据包capture2.pcap,找到黑客攻击Web服务器数据包,将Web服务器Nginx服务版本号作为Flag值提交

Ctrl+f打开搜索Nginx

3.5题

继续分析数据包capture2.pcap,找到黑客攻击Web服务器数据包,将该服务器网站数据库的库名作为Flag值提交

Ctrl+f打开搜索Mysql

3.6题

继续分析数据包capture2.pcap,找出黑客成功登录网站后台管理页面所使用的用户名和密码,将使用的用户名和密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交

搜索password得到账号密码

这里使用的AES加密

搜索找到密钥

拿到网上去解密

3.7题

继续分析数据包capture2.pcap,找出黑客开始使用sqlmap发起sql注入攻击的时间,将发起sql注入攻击的时间作为Flag值(例如:16:35:14)提交

找到sqlmap发起攻击的时间,利用sqlmap时会把http数据包中的User-Agent值替换为sqlmap版本以及官网我们把他应用为列

排序一下然后找到最底下那个包就是最早的

3.8题

继续分析数据包capture2.pcap,找出黑客结束使用sqlmap的时间,将结束使用sqlmap的时间作为Flag值(例如:16:35:14)提交

按照上面那题的方法得到结束时间。

全站顶部广告位

  • 支付宝赞助图片
  • 微信赞助图片
  • QQ赞助图片
头像
描述: 还好有你,再见如初。
  1. 1周前 (10-16)
    图片标签呀 @
    张涛

    你们看就看,在这里逼逼赖赖,没马仔

  2. 1周前 (10-16)
    图片标签呀 @
    诸定航

    nmsl,出门必给泥头车撞!写的什么lj东西

    • 1周前 (10-16)
      图片标签哦 @ NO
      卢本伟

      @诸定航:有本事你把看,别在这里狗叫

  3. 1周前 (10-16)
    图片标签呀 @
    古学锟

    nmsl,出门必给泥头车撞!写的什么lj东西

    • 1周前 (10-16)
      图片标签哦 @ NO

      @古学锟:大兄弟搁这自导自演呢?

Press Space to start