🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 hacker-routing ，很高兴认识大家~
✨主攻领域：【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

---

目录

1、大流量分析（一）

2、大流量分析（二）

3、大流量分析（三）

---

流量分析参考文章：
https://cloud.tencent.com/developer/article/2285286
https://www.cnblogs.com/17bdw/p/9823496.html#_label1_0

1、大流量分析（一）

flag{183.129.152.140}

某黑客对A公司发动了攻击，以下是一段时间内我们获取到的流量包，那黑客的攻击ip是多少？

下载流量分析包，数量确实大啊，我们随便在里面点击一个流量包进行分析下

题目说黑客攻击了A公司，那么进行攻击，且我们手上目前又有攻击留下的数据包，那么里面肯定有很多攻击IP与我们内网IP有交互的。

我们这里直接利用wireshark工具统计IP出现的次数，统计 → IPv4 Statistics → All Addresses

我们可以看到除了几个172开头的内网IP地址，就是183.129.152.140这个IP出现的频率最高了，所以我们怀疑这个就是攻击者的IP地址。

如果是做题目嘛，那么我们就可以把这个地址直接提交，看看是不是正确的，但是真实的工作环境下，我们需要再进行确认下。

我们这里再利用统计功能里面的会话功能，查看下这个IP与内网的IP交互次数，

可以看到与内网的交互次数非常多，那么基本上就可以断定它就是攻击者的IP地址了。

2、大流量分析（二）

黑客对A公司发动了攻击，以下是一段时间内获取到的流量包，那黑客使用了哪个邮箱给员工发送了钓鱼邮件?

题目说是攻击者利用电子邮箱发送的恶意钓鱼邮件，那么SMTP协议作为邮件传输协议，就需要我们关注了。

直接检索smtp协议，然后看到下面的from关键字，直接右键追踪tcp协议，就可以看到邮件发送方了。

这里有段base64编码的内容，解码看内容基本就可以确定这个就是邮箱的发送方就是攻击者的邮箱：

MAIL FROM:<xsser@live.cn>
RCPT TO:<it@t3sec.cc>

3、大流量分析（三）

某黑客对A公司发动了攻击，以下是一段时间内我们获取到的流量包，那黑客预留的后门的文件名是什么？

这一道题目是找phpinfo()关键字，我也不是很能想到，所以也是看大佬的WP以后才做出来的