flag明文
ctril+f打开搜索框
字符串+分组字节流
输入flag查找
flag编码
hex:
转换flag:文本到十六进制转换器 (netinbag.com)
查找
解码
sql注入+hex:
老操作
解码
不太像
发现sql注入痕迹
确认无误
Unicode转askll:
Unicode编码转换工具,ASCII与Unicode互转-试试工具网 (144.me)
无结果,查f(102)
查到了看看怎么一回事
出题人把l用1代替了
压缩包流量:
即flag放在zip rar tar.gz 7z 里
发现只有http和tcp
过滤先看http
跟踪tcp流
翻阅,发现第一个流中上传了一句话木马
最后一个流中,我们发现疑似上传文件
不清楚文件格式,所以对上文进行解码
url解码
发现是base64加密
解码,发现是tar.gz 格式文件
关闭追踪流显示压缩包字节流
注:X@Y,->|为菜刀文件头标记要删去
调节开始位置
已知为压缩包,故用压缩解码
得到flag
也可以吧压缩包下载出来