前言
一个题目需要提取pacp包里的文档。其实是一个非常简单的题目,我这里做一下记录,有些槽点需要吐槽一下。
【PS:其实很简单,只是想分享一些自己的思路和见解,大神绕路】
题目
从一个网站抓取的数据包,攻击者上传了一个文件,请从pacp将文件还原。
image要求:
- 请说明寻找过程。
- 请说明还原方法。
【经常打ctf的大师傅其实一眼就看到答案了】
image
观察
image只有两个协议,tcp和http。追踪一下流:
登陆网站
image在主页,调了一些东西:
其实打靶场多了就知道,这是dvwa,Low级别
imagetcp这些都看的不舒服,直接追踪http:
选择了一个靶场inlcude的,那就很好办了。
image追踪到下一个http流,找到看看上传了什么:
传了一个Docx文件
image找到之后来看:
筛选一下,length选择最大的,然后info一栏可以看出是什么格式。
image提取文件
方法一:
这种方法最简单粗暴,左上角一套带走。
image image方法二:
选择需要导出的包,然后左上角导出数据流。【有些版本,右键即可】
image方法三:
使用binwalk跑一下,看看能分离出什么:
binwalk 大多数时候是无脑 e,但是有时候也需要配合 dd命令进行切割导出。
image导出文件
修改后缀
image切记要用office打开,wps无法读取。
image结语
- wps与office水火不容,能用office尽量office,因为这样正规。
- 这是某司的面试题,有其他小伙伴说直接方法一提取就行啦,看这么多干啥呢?这种方法我也认可,ctf里我也是这样干的。但这是面试官想看到的吗?面试官看的是一个思路,想知道面试者怎么一步步提取出来。ctf出题者当然知道你会用方法一,因为这已经是预期解的一部分。
网友评论