bugku 这么多数据包

看到之后有点懵逼

然后下载

下载之后发现是一个pacp后缀的流量数据包

然后用wireshark

然后只想到了 http过滤

然后发现不对

然后参考其他人的博客

经大佬提示, 一般 getshell 流的 TCP 的
报文中很可能包含 command 这个字段, 我们可以通过< 协议 contains “内
容” >来查找 getshell 流

 

通过追踪 tcp 流, 我们可以看到一段 base64 字符串

 

 base64 解密, 得到 flag

 

 

总结
这题主要难在不知道怎么找 getshell 流, 需要对各种报文以及 wireshark 的使
用方法比较熟悉, 可以参考下面的博客去进行学习
https://www.cnblogs.com/dragonir/p/6219541.html


作者:Ro0t
链接:https://www.jianshu.com/p/3efa609cc652
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

 

posted on 2020-02-11 00:11  ainv  阅读(275)  评论(0编辑  收藏  举报