什么是wireshark？

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

wireshark简介:

假设你是一名网络安全工程师需要对某企业公司得数据进行分析，分析黑客获取电脑权限进行得一系列操作，我们本章主要以分析案例数据包进行分析找出关键数据。

1.通过分析虚拟机windows 7 桌面上的数据包B.pcapng，找到数据库里的flag最后一个字符是什么，将该字符作为FLAG提交；

使用过滤器 设置分组字节流搜索FLAG

FLAG：}

【——全网最全的网络安全学习资料包分享给爱学习的你，关注我，私信回复“领取”获取——】

1.网络安全多个方向学习路线

2.全网最全的CTF入门学习资料

3.一线大佬实战经验分享笔记

4.网安大厂面试题合集

5.红蓝对抗实战技术秘籍

6.网络安全基础入门、Linux、web安全、渗透测试方面视频

2.通过分析数据包B.pcapng，找到黑客扫描到的主机IP是多少将该IP作为FLAG提交；

根据题目的提示 因为是扫描的 所以我们要知道扫描的协议是arp协议

FLAG：192.168.10.12

3.通过分析数据包B.pcapng，找到服务器的内核版本是多少，将该版本信息作为FLAG提交; 查看httpd的数据流找到 m.php 第二条

FLAG:3.10.0-123.el7.x86_64

4.通过分析数据包B.pcapng，找到黑客扫描网段的命令是什么？，将该命令作为FLAG提交;

继续分析http数据流

发现上传了一个RASscan.py 通过base64解码获取命令

flag:RASscan.py 192.168.10.10 192.168.10.110 -t 20 > log.txt

5.通过分析数据包B.pcapng，找到黑客通过一句话木马上传的第一个文件是什么，将文件名作为FLAG提交；

查看http数据流继续分析找到 m.php

FLAG:socks.py

6.通过分析数据包B.pcapng,找到黑客从服务器上下载的文件，将文件内容作为FLAG提交；

找到m.php 最大的那个文件 然后 导出来是一个压缩包,里面是一个没有数据头的破损图片文件.

需要用winhex工具点击编辑 点击粘贴字节 4个 输入png的头格式 89 50 4E 47存文件即可 这个时候就得到一个含flag的图片

最后祝大家开心每一天