Wireshark分析菜刀流量包

过滤http发现，共有四条会话（一个POST包一个回包）

查看HTTP流

%开头，url编码，urldecode

将&z0=后的内容进行base64解码

 

或者可以根据回包推测POST包请求的东西

第一个回包：

显示主机信息，推测使用uname -a命令

 

第二个回包：

在->| |<-中间的内容为目录，推测使用ls

 

第三个回包：

推测使用cat isg.php

 

第四个回包：

看似乱码的部分实则为x.tar.gz的数据流，将数据的显示转为Hex转储

.tar.gz压缩格式的文件头为 1F 8B ，去掉->|和|<-（这六个字符毫无意义，中间的内容才是真正有意义的东西）发现正是.tar.gz压缩包的十六进制，复制粘贴到010editor并保存为x.jar.gz

解压即可得flag

 

标签：tar,gz,流量,推测,转储,菜刀,POST,回包,Wireshark
来源： https://www.cnblogs.com/wanao/p/10923835.html