bugkuctf-分析-菜刀
1.打开下载的压缩包,里面是个pcapng文件。用wireshark打开。
先看看http
包比较少而且info里也没什么特别的信息,每个点开看看
在第四个包里发现了一句话,重点来了!
看下一个包,他做了什么。选中第五个包,右键选择追踪HTTP流
base64解码$xx(' ')引号内的内容
发现他尝试读取flag.tar.gz文件,且在头尾输出了[email protected]接着看第六个HTTP包
右键点击Line-based text data,选择显示分组字节
头尾都有[email protected],通过右下角的开始和结束字符,把[email protected]删掉。剩下的就是flag.tar.gz内容,再选择解码为压缩(左下角)