文章总结： 本文详解网络流量包取证案例，涵盖攻击源定位、Web框架识别、暴力破解、Webshell上传及利用、数据库窃取与反弹Shell全过程。利用Wireshark过滤语法还原攻击路径，提供具体答案与验证方法，适合CTF或应急响应技术学习与练习。 综合评分： 91 文章分类： CTF,WEB安全,应急响应,实战经验

---

网络流量包练习题解题详解（附详细解题视频）

原创

小谢取证 小谢取证

小谢取证

2026年1月16日 17:40 福建

给大家带来一期详细的网络流量包解析，文末有解析视频与检材。

51.攻击者的IP为？（答案格式：192.168.1.1）

参考答案：10.211.75.6

先试用IPV4地址统计分析，出现次数最多的3个IP地址。192.168.1.9和59.110.185.49

和10.211.75.6

再使用会话统计，可以看到会话最多的几组

但这样好像也不太好看出来，我们可以使用过滤条件http.request.method==”POST” 进行过滤，因为攻击机一定会对被攻击机进行后台登录。

所以攻击机是10.211.75.6 被攻击机是192.168.0.177

使用AI验证一下

52.被攻击服务器的网站框架是？

参开答案：zend      (PbootCMS?)

既然能够确定攻击机与被攻击机，那么网站框架的信息就在被攻击的服务器的应用层，所以这个时候我们可以过滤源IP地址是192.168.0.177。使用过滤条件ip.src==192.168.0.177 过滤源IP地址。并且要满足源IP地址是192.168.0.177，目标IP地址是10.211.75.6

答案疑问 因为

用AI验证一下

后续详细的解答在下面的题目当中。

53.攻击者对网站后台登录进行了暴力破解，成功获取到的用户密码为？格式：按实际值填写）

参考答案：admin123

既然是进行登录的行为，那么所做得动作是POST，所以可以使用过滤条件http.request.method==”POST”进行过滤。又因为是网站后台，所以一般登录的地址是带有admin关键词，又得看下最近的时间。

所以密码是admin123

54.攻击者第一次成功登录网站管理后台的UTC时间为？ 2025-01-01 00:00:00）

参考答案：2025-05-27 16:17:10

所以第一次登录后台的时间如上题，换算一下时区的时间可得。

涉及到密码也可以尝试使用过滤条件 http.request.method ==”POST” and http matches “password[^a-zA-Z0-9]lpasswad[^a-zA-Z0-9]pwd[^a-zA-Z0-9]mima[^a-zA-Z0-9]”

55.攻击者上传后所执行的一句话木马文件名为？（答案格式：1.doc）

1657037870691680.phtml

题干已提示为一句话木马

所以一句话木马就可以直接使用语句http contains “POST[“进行过滤，因为

所以过滤出来    

对其进行追踪，发现一句话木马的密码(h4ck4fun),和上传的小马(/static/upload/other/20220706/1657037870691680.phtml)

56.攻击者获取到的服务器账号权限为？

参考答案：www-data

1. 因而围绕这个小马地址来探索黑客执行了什么命令 继续使用 http contains “/static/upload/other/20220706/1657037870691680.phtml” 过滤，查看黑客上传小马后执行了什么命令。

可以看到，第三条明确标注了请求数据类型是 application/x-www-form-urlencoded（表单编码格式），说明这条请求携带了提交的数据；而第一条没有这类内容，只是单纯的资源请求。

我们可以看一下它第一条执行了phpinfo

且也看到了网站框架zend

就可以纠正52题网站框架得题

继续追踪命令发现 黑客在执行whoami得命令，显示出的是www-data得用户

57.网站mysql数据库的连接密码为？（答案格式：按实际值填写）

参考答案：p4ssw0rd

在上一题，我们使用http contains “/static/upload/other/20220706/1657037870691680.phtml”进行过滤，查看黑客在上次小马后进行了什么样的操作，其中就可以发现，黑客有查看了网站源码当中数据库的配置文件行为，我们就可以看到起数据库账号root的连接密码为p4ssw0rd

58.数据表ay_user中用户名xiaoming的密码为？

参考答案：1qaz2wsx

从上题题干得信息，可以知道被攻击机所使用得是mysql数据库，所以，我们就可以使用过滤条件 tcp contains “mysql”

使用该过滤条件过滤之后出来有四条，优先查看攻击机对被攻击机得操作。

我们对该条进行追踪一下，可以发现黑客所执行的命令。

往下拉发现

看到=号像是base64编码，进行解码后可得到密码1qaz2wsx

59.攻击者把网站进行了打包，打包的密码为？

参考答案：5034737377307264 继续使用http contains “/static/upload/other/20220706/1657037870691680.phtml”过滤条件分析黑客输入过的命令， 有%号的话可以使用URL进行解码

也可以直接看

可以看到密码是5034737377307264

攻击者在服务器上进行反弹shell，连接的目标IP为？

参考答案：111.123.222.333

继续使用过滤条件http contains “/static/upload/other/20220706/1657037870691680.phtml”进行过滤。查看黑客输入过的命令 可以看到，这是一条经典的 Bash 反弹 Shell 命令。

采用base64解码后得到

所以IP地址为111.123.222.333

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

小谢取证已关注

分享视频

，时长31:57

0/0

00:00/31:57

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

31:57

31:57

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

网络流量包练习题解题详解（附详细解题视频）

观看更多

原创

,

网络流量包练习题解题详解（附详细解题视频）

小谢取证已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

检材在后台回复“流量包练习案例”即可。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小谢取证 小谢取证 小谢取证《网络流量包练习题解题详解（附详细解题视频）》