1
原来我也是可以做这种题的啊哈哈,
直接从wireshark中显示raw,然后只显示一端向另一端发的数据,然后保存为某文件,然后用hex编辑器(比如010 Editor,或者Windows上的winhex)打开,去除掉无关的内容,然后保存。
保存之后,由于流量中显示该文件是.tar.gz
结尾,于是
➜ ~/Downloads/ctf_wireshark tar -xvf isg2014_x.tar.gz [11:21:51]
x var/www/flag.txt
然后
➜ ~/Downloads/ctf_wireshark cat var/www/flag.txt [11:27:13]
ISG{China_Ch0pper_Is_A_Slick_Little_Webshe11}
即可。
2 这是一个rar文件
为了参考rar的头是什么样子的,我就随便找了一个本地的rar文件,然后用010 Editro打开,发现它的头部是这样的。
➜ ~/Downloads/ctf_wireshark hexdump /Users/caiqiqi/Downloads/ctf_wireshark.rar|head -1 [11:57:35]
0000000 52 61 72 21 1a 07 00 cf 90 73 00 00 0d 00 00 00
即52 61 72 21
开头,于是我按之前的方法从pcap文件中恢复的二进制数据也将以52 61 72 21
开头前面的删掉。
然后得到
➜ ~/Downloads/ctf_wireshark unrar x rootwww.rar [12:01:44]
UNRAR 5.50 beta 1 freeware Copyright (c) 1993-2017 Alexander Roshal
Enter password (will not be echoed) for rootwww.rar:
然而有密码…