flag被盜
flag被盜,趕緊溯源!
本題要點:wireshark軟件使用:http協議過濾、追蹤TCP流
首先把pcap包下載下來~
打開長這樣~
根據題目提示,flag被盜,那么很有可能包里包含了一個文件,至於文件類型就無法准確判斷了~
通常,我們可以先用
http協議 ,來看一下pcap包里面包含的信息。
我們可以看到,請求
200 ok ,請求成功。還含有
shell.php ~
任意選擇一條含shell.php的內容
右鍵 =>>追蹤流 =>>TCP流 ,看一下詳細信息。
咦,發現里面好像沒有什么明顯的編碼內容或者flag常見形式的字符串~
那么換一個包繼續來看吧~
這次選一個含有
shell.php 的
post 包,仍然
右鍵 =>>追蹤流 =>>TCP流 :
我們可以看到,里面有大段的base64編碼~
第1段base64解碼失敗,需要先把%3D轉換成 =,才能繼續解碼~解碼內容和第2段base64解碼內容差不多~
試試第2段base64解碼,解出結果如下:
里面含有一個 flag.txt ,但是暫時還不知道如何獲取...
emmmmm,解碼出來的也沒有flag{}樣式呀~
等等,往下滑動一下繼續看.......
咦,這個會不會就是flag....
flag{This_is_a_f10g}
試試提交,bingo~
ps:
發現這個套路之后,我們以后可以直接這么做!
右鍵 =>>追蹤流 =>>TCP流
直接查找flag
完成~