从cap还原pdf文件(docx同理)
用wireshark打开cap文件,过滤出http。
右键包含pdf的http记录,选择“追踪流”->“HTTP流”
定位文件位置,在窗口右下角选择Show data as “原始数据”。复制十六进制数据。
我使用010Editor,选择“编辑”->“粘贴自”->“粘贴自十六进制文本”
点击Hex按钮,查看十六进制。
去除非pdf文件的部分。看wireshark里的http流可能更清晰。
保存文件为pdf,完成。
通过回放(部分)流内容恢复网页
实验中,网页的框架和内容是分开请求的。先登录自己的邮箱,获取页面的框架,再通过burp suite拦截内容响应,替换为cap对应的内容,就能在自己的邮箱页面中直接显示了。感觉这个做法比搭服务器要方便得多,效果也挺好。对于json文件,我都是这样处理的。
通过改html代码恢复网页
对于html类型的响应,还可以修改网页代码。按F12,查看网页原码,找到对应的位置,右键元素,选择“Edit as HTML”(Chrome浏览器),替换为响应的内容。