中國菜刀
國產神器
本題要點:wireshark基本使用:http協議+追蹤流+顯示分組字節、kali_Linux:binwalk基本操作
首先我們下載下來這個zip文件,里面是個pcapng包。
方法一:
用
wireshark 打開~
用http協議過濾。
我們可以發現有一些php文件的傳輸和請求成功的包。
先點開一個包追蹤一下tcp流~
除了看到里面有一個壓縮包的信息,再沒發現什么有用的信息......
那么~
接下來我們可以挨個看一下請求成功200 ok!的包中的信息。
重點看一下每個包的
Line-based text data 中的顯示分組字節。
顯示分組字節后,彈框如下圖:
首先將解碼選為壓縮(因為我們之前分析可得,里面是存在一個壓縮文件的),
顯示為ASCII碼,
默認開始為第0條流,我們可以看到共有209條流~
我們可以從第0條流查看,當翻到第3條流的時候,我們可以發現
flag/ flag/flag.txt key{8769fe393f2b998fa6a11afe2bfcd65e}
key{8769fe393f2b998fa6a11afe2bfcd65e}
bingo~
方法二:
打開 kali_Linux ,使用 binwalk 查看。
先來擴展一下~
binwalk常用命令:
-e 分解出壓縮包
binwalk -e xxx
-D或者--dd 分解某種類型的文件(在windows里要用雙引號括起來)
binwalk -D=jpeg xxx
-M 遞歸分解掃描出來的文件(得跟-e或者-D配合使用)
binwalk -eM xxx
擴展結束~
因此,我們將pcapng文件拖進kali_Linux里面。
在所在文件夾下打開終端。
輸入命令:
binwalk -e caidao.pcapng
我們可以看到里面存在一個壓縮包。
那么我們使用binwalk的dd命令~
請看下圖~
已經將壓縮文件分解啦~
進入已經分解好的文件夾,查看內容~
bingo~