从pcap文件中还原文件

1

原来我也是可以做这种题的啊哈哈,
直接从wireshark中显示raw,然后只显示一端向另一端发的数据,然后保存为某文件,然后用hex编辑器(比如010 Editor,或者Windows上的winhex)打开,去除掉无关的内容,然后保存。
这里写图片描述
保存之后,由于流量中显示该文件是.tar.gz结尾,于是

➜  ~/Downloads/ctf_wireshark  tar -xvf isg2014_x.tar.gz                                       [11:21:51]
x var/www/flag.txt

然后

➜  ~/Downloads/ctf_wireshark  cat var/www/flag.txt                                            [11:27:13]
ISG{China_Ch0pper_Is_A_Slick_Little_Webshe11}

即可。

2 这是一个rar文件

为了参考rar的头是什么样子的,我就随便找了一个本地的rar文件,然后用010 Editro打开,发现它的头部是这样的。

➜  ~/Downloads/ctf_wireshark  hexdump /Users/caiqiqi/Downloads/ctf_wireshark.rar|head -1      [11:57:35]
0000000 52 61 72 21 1a 07 00 cf 90 73 00 00 0d 00 00 00

52 61 72 21开头,于是我按之前的方法从pcap文件中恢复的二进制数据也将以52 61 72 21开头前面的删掉。
这里写图片描述
然后得到

➜  ~/Downloads/ctf_wireshark  unrar x rootwww.rar                                             [12:01:44]

UNRAR 5.50 beta 1 freeware      Copyright (c) 1993-2017 Alexander Roshal

Enter password (will not be echoed) for rootwww.rar:

然而有密码…

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值