MISC流量分析caidao.pcapng

该题目是考察flag文件隐藏在流量包中，需要分离文件：

使用wireshark打开该流量包。

1.首先过滤tcp: 在过滤器中输入 tcp contains flag。

2.选中其中一条，打开该包，确定其为目录内容，发现flag.tar.gz。

 

 

3.右键选择该条-追踪流-tcp流。

4.在追踪流中找到http。

5.过滤http，找到返回代码为200的三条记录，逐条确认。

6.一条为目录，一条为eval的一句话木马，另一条则放了一个压缩文件，样式如下：

 

7.在wireshark中间预览窗口选中该压缩包所在的数据包，右键-显示分组字节。

 

 8.由于该字段为压缩格式，将其解码选择为：压缩。

 

 9.该分组内的字符并不完全是从第一位开始的，因此需要在右下角开始处从0开始逐渐增加偏移量，直到对齐数据字段，即可显示出内容。

 

至此，成功获取flag

key{8769fe393f2b998fa6a11afe2bfcd65e}