文件地址: http://pan.baidu.com/s/1bnGWbqJ
提取码:oe6w
下载下来为 pcapng格式,用wireshak打开。
可以看到JJFLY ,哦不,fly.rar size:525701.
路径中存在upload,可猜测为上传,过滤规则为http.request.method=="POST";
后面几个post包里面应该是文件碎片
第2-6个文件的Medie Type 域 字节分别为 131436 131436 131436 131436 1777
>>> 131436*4
525744
>>> 525744+1777
527521
>>> 527521-525701
1820
>>> 1820/5
364
>>>
每个文件头部相同的字节为通信内容,我们要的是附件rar所以计算得每个文件多出来了364
把他们的二进制文件保存