这是在某CTF上遇到的一个问题。
然而我对于wireshark的使用我却一知半解,打开pcapng文件发现只有30多个包,感觉还是挺适合新手练手的,所有在这里做个记录。
1、打开wireshark,先粗略看看这个流量包中有什么内容:
发现包中有几个值得关注的地方:
①只有两个IP:192.168.179.246、192.168.179.245
②协议只有HTTP和TCP
③HTTP包中有PSOT方法
其实这里就可以做个初步判断了,是否是简单的webshell上传?
再结合点击一个POST包看一下:
在红框中能看出这是.246在对.245上传一句话木马。
2、 跟踪包的TCP流:
看一下这一波上传都做了什么骚操作:右键那个POST包-追踪流-TCP流
得到这一操作的整个TCP流程:红色是.246往.245发送的包,蓝色是.245返回256的包。
在返回包的发现,在.245的文件夹内有reverseshell.zip这个名称的包。因为文件名,我们可以猜测这个就是黑客上传的压缩包。
再在TCP流中发现菜刀z1这个参数有内容,证明菜刀在进行上传操作:
3、把二进制代码还原成为zip:
思路是把z1的中二进制内容复制到十六进制的编辑器,然后导出为zip文件。
我这里用的是Hex Fiend,把z1内容复制进去。
左边那一栏是z1的内容。
另存为a.zip,然后解压,搞定。