Bugku-CTF分析篇-flag被盗（flag被盗，赶紧溯源！）

flag被盗

flag被盗，赶紧溯源！

 

本题要点：wireshark软件使用：http协议过滤、追踪TCP流

 

 

首先把pcap包下载下来~

打开长这样~

 

 

 

根据题目提示，flag被盗，那么很有可能包里包含了一个文件，至于文件类型就无法准确判断了~

通常，我们可以先用 http协议 ，来看一下pcap包里面包含的信息。

 

 

 

我们可以看到，请求 200 ok ，请求成功。还含有 shell.php ~

任意选择一条含shell.php的内容  右键 =>>追踪流 =>>TCP流  ，看一下详细信息。

 

 

 

 

咦，发现里面好像没有什么明显的编码内容或者flag常见形式的字符串~

 

那么换一个包继续来看吧~

这次选一个含有 shell.php 的 post 包，仍然 右键 =>>追踪流 =>>TCP流 ：

 

 

 

 

我们可以看到，里面有大段的base64编码~

 

 

 

第1段base64解码失败，需要先把%3D转换成 =，才能继续解码~解码内容和第2段base64解码内容差不多~

试试第2段base64解码，解出结果如下：

 

 

里面含有一个 flag.txt ，但是暂时还不知道如何获取...

emmmmm，解码出来的也没有flag{}样式呀~

等等，往下滑动一下继续看.......

 

 

 

咦，这个会不会就是flag....

 

 flag{This_is_a_f10g} 

 

试试提交，bingo~

 

ps：

发现这个套路之后，我们以后可以直接这么做！

 

右键 =>>追踪流 =>>TCP流 

直接查找flag

 

 

 

 

 

 

完成~