image.png

前言

一个题目需要提取pacp包里的文档。其实是一个非常简单的题目，我这里做一下记录，有些槽点需要吐槽一下。

【PS：其实很简单，只是想分享一些自己的思路和见解，大神绕路】

题目

从一个网站抓取的数据包，攻击者上传了一个文件，请从pacp将文件还原。

image

要求：

1. 请说明寻找过程。
2. 请说明还原方法。

【经常打ctf的大师傅其实一眼就看到答案了】

image

观察

image

只有两个协议，tcp和http。追踪一下流：

登陆网站

image

在主页，调了一些东西：

其实打靶场多了就知道，这是dvwa，Low级别

image

tcp这些都看的不舒服，直接追踪http：

选择了一个靶场inlcude的，那就很好办了。

image

追踪到下一个http流，找到看看上传了什么：

传了一个Docx文件

image

找到之后来看：

筛选一下，length选择最大的，然后info一栏可以看出是什么格式。

image

提取文件

方法一：

这种方法最简单粗暴，左上角一套带走。

image image

方法二：

选择需要导出的包，然后左上角导出数据流。【有些版本，右键即可】

image

方法三：

使用binwalk跑一下，看看能分离出什么：

binwalk 大多数时候是无脑 e，但是有时候也需要配合 dd命令进行切割导出。

image

导出文件

修改后缀

image

切记要用office打开，wps无法读取。

image

结语

1. wps与office水火不容，能用office尽量office，因为这样正规。
2. 这是某司的面试题，有其他小伙伴说直接方法一提取就行啦，看这么多干啥呢？这种方法我也认可，ctf里我也是这样干的。但这是面试官想看到的吗？面试官看的是一个思路，想知道面试者怎么一步步提取出来。ctf出题者当然知道你会用方法一，因为这已经是预期解的一部分。