DigiForensics 电子取证技术学习平台
登录 注册
(纯命令行)2025全国技术技能竞赛专项赋能培训——流量包检材 2025

(纯命令行)2025全国技术技能竞赛专项赋能培训——流量包检材

围绕 (纯命令行)2025全国技术技能竞赛专项赋能培训——流量包检材 的公开复盘与解题记录。

作者:是羊羊羊呀 发布日期:2026-05-22 75 次阅读

1)分析检材1,黑客的IP地址是(示例:192.168.0.1)

192.168.94.59

wp:

1、先看所有http的源/目的IP:

tshark -r 检材1.pcap -q -z conv,ip 截屏2026-05-21 19.25.18.png

其实已经可以猜出是192.168.94.59了

2、看所有http的请求来源:

tshark -r 检材1.pcap -Y http.request -T fields -e ip.src | sort | uniq -c 截屏2026-05-21 19.25.30.png

3、筛选一下可疑的ip主要访问了什么路径:

tshark -r 检材1.pcap -Y 'ip.src==192.168.94.59 && http.request' -T fields -e http.request.method -e http.request.uri | head 截屏2026-05-21 19.25.39.png

2)分析检材1,被黑客攻击的web服务器,网卡eth1的ip地址为(示例:192.168.0.1)

10.3.3.100

wp:

先分析一下,外网口应该是192.168.94.189,所以我们要找内网对应的网卡。

1、定位data/config.php的TCP流

tshark -r 检材1.pcap -Y 'tcp contains "data/config.php"' -T fields -e frame.number -e tcp.stream

会有一堆流跳出来,任意选择一个。

2、任选一个,看看ASCII

tshark -r 检材1.pcap -q -z 'follow,tcp,ascii,72689' 截屏2026-05-21 19.25.55.png

3)分析检材1,黑客扫描到的登陆后台是(相对路径,如/abc/abc):

/admin/login.php

wp:

列出访问的路径就行(试试admin)

tshark -r 检材1.pcap -Y 'ip.src==192.168.94.59 && http.request.uri contains "/admin"' -T fields -e http.request.method -e http.request.uri | sort -u 截屏2026-05-21 19.26.33.png

4)分析检材1,黑客登录web后台使用的密码是

admin!@#pass123

wp:

1、直接把账号为admin的所有密码罗列出来,发现最后一个截止了,即为正确密码。

tshark -r 检材1.pcap -Y 'urlencoded-form.key=="user_name" && urlencoded-form.value=="admin"' -T fields -e frame.number -e ip.src -e urlencoded-form.key -e urlencoded-form.value 截屏2026-05-21 19.26.44.png

5)分析检材1,网站账号“人事”所对应的登录密码是

hr123456

wp:

1、筛选登陆POST

tshark -r 检材1.pcap -Y 'http.request.method=="POST" && http.request.uri=="/admin/login.php?rec=login"' -T fields -e frame.number -e ip.src截屏2026-05-21 19.27.09.png

2、随便查看一条帧

tshark -r 检材1.pcap -Y "frame.number==86" -V 截屏2026-05-21 19.27.19.png

6)分析检材1,黑客上传的webshell文件是______(如abc.php) 一句话木马 eval

a.php

wp:

1、筛选可疑文件

tshark -r 检材1.pcap -Y 'ip.src==192.168.94.59 && http.request && http.request.uri contains ".php"' -T fields -e http.request.method -e http.request.uri | sort -u

可以发现有一个a.php很怪

2、测试一下他

tshark -r 检材1.pcap -q -z 'follow,tcp,ascii,72661' 截屏2026-05-21 19.28.17.png

7)分析检材1,黑客上传的webshell,使用的连接密码是

1234

wp

见上:1234

8)分析检材1,黑客找到的数据库密码是多少

e667jUPvJjXHvEUv 截屏2026-05-21 19.28.30.png

9)分析检材2,数据库的版本号为(只需版本号,如1.1.1)

5.5.49

wp:

读取握手数据字段

tshark -r 检材2.pcap -Y mysql.server_greeting -T fields -e mysql.version | sort -u

10)分析检材2,“dou_config”表中,“name”列的值是“tel”的行中,“value”值是

0596-8888888

wp:

1、找到对 dou_config 的查询所在的 TCP 流(例如第一次 SELECT * FROM dou_config 在 tcp.stream == 1)

tshark -r 检材2.pcap -Y 'mysql.query contains "SELECT * FROM dou_config"' -T fields -e frame.number -e tcp.stream 截屏2026-05-21 19.29.18.png

2、跟随流查看ASCII

tshark -r 检材2.pcap -q -z 'follow,tcp,ascii,1'

3、查找关键词“tel”之类的截屏2026-05-21 19.29.30.png