该题目是考察flag文件隐藏在流量包中,需要分离文件:
使用wireshark打开该流量包。
1.首先过滤tcp: 在过滤器中输入 tcp contains flag。
2.选中其中一条,打开该包,确定其为目录内容,发现flag.tar.gz。
3.右键选择该条-追踪流-tcp流。
4.在追踪流中找到http。
5.过滤http,找到返回代码为200的三条记录,逐条确认。
6.一条为目录,一条为eval的一句话木马,另一条则放了一个压缩文件,样式如下:
7.在wireshark中间预览窗口选中该压缩包所在的数据包,右键-显示分组字节。
8.由于该字段为压缩格式,将其解码选择为:压缩。
9.该分组内的字符并不完全是从第一位开始的,因此需要在右下角开始处从0开始逐渐增加偏移量,直到对齐数据字段,即可显示出内容。
至此,成功获取flag
key{8769fe393f2b998fa6a11afe2bfcd65e}