該題目是考察flag文件隱藏在流量包中,需要分離文件:
使用wireshark打開該流量包。
1.首先過濾tcp: 在過濾器中輸入 tcp contains flag。
2.選中其中一條,打開該包,確定其為目錄內容,發現flag.tar.gz。
3.右鍵選擇該條-追蹤流-tcp流。
4.在追蹤流中找到http。
5.過濾http,找到返回代碼為200的三條記錄,逐條確認。
6.一條為目錄,一條為eval的一句話木馬,另一條則放了一個壓縮文件,樣式如下:
7.在wireshark中間預覽窗口選中該壓縮包所在的數據包,右鍵-顯示分組字節。
8.由於該字段為壓縮格式,將其解碼選擇為:壓縮。
9.該分組內的字符並不完全是從第一位開始的,因此需要在右下角開始處從0開始逐漸增加偏移量,直到對齊數據字段,即可顯示出內容。
至此,成功獲取flag
key{8769fe393f2b998fa6a11afe2bfcd65e}