3月26日刷题日记-第六章流量特征分析-waf 上的截获的黑客攻击流量

应急响应工程师小徐在 waf 上下载了一段黑客的攻击流量，请你分析黑客的攻击流量，并且找到对应的关键信息提供给应急小组协助修复漏洞

1.黑客成功登录系统的密码 flag

首先我们可以发现有一个IP进行多次登录尝试，我们可以判断这个ip是黑客IP，然后我们发现登录的路径是/admin/login.php，再随便找几个登录的流量包看一下，是POST的密码，这样我们可以写语句> http.request.method == "POST"&& http.request.uri contains "/admin/login.php"
来进行过滤，我们看后几个流量包来找一下登录成功的密码

我们找到了黑客登录的密码和一个hr登录的密码，拿到flag{admin!@#pass123}
当然我们也可以用登录成功的响应码302来进行过滤
http.response.code==302

这样能更快的找到密码