1.分析数据包hack.pcap,黑客登录系统使用的密码是________。

　　2.分析数据包hack.pcap,黑客修改了一个文件日志，文件的绝对路径为________。

　　3.分析数据包hack.pcap，黑客获取webshell之后，权限是_________？

　　4.分析数据包hack.pcap，黑客写入的webshell文件名是_________。

　　5.分析数据包hack.pcap，黑客上传的代理工具客户端名字是__________。

　　6.分析数据包hack.pcap，黑客代理工具的回连服务端IP是___________。

　　7.分析数据包hack.pcap，黑客的socks5的连接账号、密码是___________。

　　因为是登陆系统使用直接检索(login)

　　所以使用的密码为：Admin123!@#

　　题目中为修改文件日志，所以直接搜索.log(一般情况下文件后缀前面都有一个.)

　　找到日志文件，但不是绝对路径，尝试追踪http流

　　所以文件的绝对路径是：/var/www/html/data/Runtime/Logs/Home/21_08_07.log

　　因为是寻找权限，直接搜索whoami

　　追踪http流之后可以看到权限default后面

　　所以权限是：www-date

　　在第二题的过程中就能看到写入的文件

　　所以写入的webshell文件名是：1.php

　　由上题可知webshell的连接密码是aaa，直接搜索aaa，然后追踪http流

　　所以代理工具客户端名字是：frpc

　　在第五题中已经知道通过代理客户端写入文件，用shell上传，上传的时候抓的包文件内容是16进制的，我们去十六进制转字符串，在没网的环境里呢，可以用Burpsuite去转换十六进制，将图中所选的内容复制，放在Burp里面的Decoder里面，然后修改类型，修改为ASCll hex

　　放入burpsuit中

　　所以代理工具的回连客户端IP是：192.168.239.123

　　所以账号：0HDFt16cLQJ

　　密码：JTN276GP