文件caidao.zip,解压后caidao.pcapng
分析两种方法:流量包里导出压缩包和binwalk直接分析文件
方法一:流量包tcp流导出压缩包
搜索http,总共6个流浪包,逐个分析
点击第一个http包,选择复制纯文本(追踪-tcp流或者直接复制)
去掉头尾,在尾部加上==,用BASE64解码
逐个分析。
看着$D应该是显示文件啥的!!
继续走!
第二个是个显示的文本,好像没啥,继续!
第三个:
同第一个解码:
好像是显示3.php里的内容的。继续走!!
分析第4个http包:
发现是php的一句话木马。
觉得应该离flag不远了!继续走:
第五个包:
同样解码
发现是显示一个flag.tar.gz一个压缩包里面的东西,这个里面应该就是flag了。
继续分析最后一个!!
发现是一串看不懂的乱码!!
直接右键显示分组字节:
最后解码改成压缩,开始一直点增加,最后就会出现flag!!!
直接找到:
方法二:kaili下binwalk分析提取文件
打开 kali_Linux ,使用 binwalk 查看。
先来扩展一下~
binwalk常用命令:
-e 分解出压缩包
binwalk -e xxx
-D或者--dd 分解某种类型的文件(在windows里要用双引号括起来)
binwalk -D=jpeg xxx
dd if=源文件 of=目标文件 skip=源文件decimal bs=1
-M 递归分解扫描出来的文件(得跟-e或者-D配合使用)
binwalk -eM xxx
扩展结束~
因此,我们将pcapng文件拖进kali_Linux里面。
在所在文件夹下打开终端。
输入命令:
binwalk -e caidao.pcapng
我们可以看到里面存在一个压缩包。
那么我们使用binwalk的dd命令~
请看下图~
已经将压缩文件分解啦~
进入已经分解好的文件夹,查看内容~
key{8769fe393f2b998fa6a11afe2bfcd65e}
【注】参考https://www.cnblogs.com/0yst3r-2046/p/12213278.html
https://blog.csdn.net/qq_42967398/article/details/85034840