Bugku-这么多数据包

这么多数据包
这是 bugku 的一道杂项题， 要求找 flag， 提示找到 getshell 流， 网址如下：
http://ctf.bugku.com/files/425d97c3a1a2fa32dcead0ddd90467c0/CTF.pcapng.zip

1. 下载之后解压缩， 是一个 cap 包

   
   图片.png

2. 通过 wireshark 打开， 可以看到有很多数据包

   
   图片.png

3. 根据提示， 我们要找到 getshell 流， 经大佬提示， 一般 getshell 流的 TCP 的
   报文中很可能包含 command 这个字段， 我们可以通过< 协议 contains “内
   容” >来查找 getshell 流

   
   图片.png

4. 通过追踪 tcp 流， 我们可以看到一段 base64 字符串

   
   图片.png

5. base64 解密， 得到 flag

   
   图片.png

6. 总结
   这题主要难在不知道怎么找 getshell 流， 需要对各种报文以及 wireshark 的使
   用方法比较熟悉， 可以参考下面的博客去进行学习
   https://www.cnblogs.com/dragonir/p/6219541.html