bugku 这么多数据包

时间：2020-02-11 01:06:43 阅读：130 评论：0 收藏：0 [点我收藏+]

看到之后有点懵逼

然后下载

下载之后发现是一个pacp后缀的流量数据包

然后用wireshark

然后只想到了 http过滤

然后发现不对

然后参考其他人的博客

经大佬提示，一般 getshell 流的 TCP 的
报文中很可能包含 command 这个字段，我们可以通过< 协议 contains “内
容” >来查找 getshell 流

技术分享图片

通过追踪 tcp 流，我们可以看到一段 base64 字符串

技术分享图片

base64 解密，得到 flag

技术分享图片

总结
这题主要难在不知道怎么找 getshell 流，需要对各种报文以及 wireshark 的使
用方法比较熟悉，可以参考下面的博客去进行学习
https://www.cnblogs.com/dragonir/p/6219541.html

作者：Ro0t
链接：https://www.jianshu.com/p/3efa609cc652
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

原文：https://www.cnblogs.com/ainv-123/p/12293559.html

踩

(0)

评论一句话评论（0）

分享档案

更多>