这道题名字一看就是webshell,提到webshell肯定是要使用post来传参,查看统计也能发现
http.request.method eq POST筛选,照例直接看最后一个追踪它的流
一眼16进制来躲waf,并且在最后一段返回体发现了疑似base64的编码
利用re模块来对pyload进行复原:
这里注意输出的顺序是base64->Aes->base64->混淆
混淆可以在第二段可以发现之前输出了"8c2b4",最后输出了"e2e10",这里我没有读完代码,我还以为之前除了什么操作把前面的流全部解码了一遍 (:<
所以可以判定前面留服务器返回的肯定是混淆之后的,所以把前置和后置的10个字符去除,然后在将encode改成decode解码(笑)
得出后解密: