bugku 流量分析：flag被盗&这么多流量包&特殊后门

一、flag被盗

用wireshark打开文件后，随便对一个tcp进行追踪tcp流，就能发现一个shell.php的请求

 

想了下，我直接在过滤器中使用  tcp contains "flag"

 

二、这么多流量包

打开一看，好多坏包，太多了无法分析，肯定需要使用过滤器对其进行过滤，但是使用tcp contains "flag"  无法获取到flag，想也觉得没这么简单23333

自己找半天没找着，百度晓得一般关键都会包含 “command” 这个词，于是搜索tcp contains "command"

发现最后一个流量包的数据，这是个入侵过程呀

对其进行tcp流追踪，

得到flag的base64，最后解码即可

 

三、特殊后门

跟协议有关系

打开后翻看一下，看到有ping，还很长，打开第一个就提示了

依次打开下面的包即可得到flag

后面不放图了

flag{Icmp_backdoor_can_transfer-some_infomation}