Wireshark分析菜刀流量包

过滤http发现,共有四条会话(一个POST包一个回包)

查看HTTP流

%开头,url编码,urldecode

将&z0=后的内容进行base64解码

 

或者可以根据回包推测POST包请求的东西

第一个回包:

显示主机信息,推测使用uname -a命令

 

第二个回包:

在->| |<-中间的内容为目录,推测使用ls

 

第三个回包:

推测使用cat isg.php

 

第四个回包:

看似乱码的部分实则为x.tar.gz的数据流,将数据的显示转为Hex转储

.tar.gz压缩格式的文件头为 1F 8B ,去掉->|和|<-(这六个字符毫无意义,中间的内容才是真正有意义的东西)发现正是.tar.gz压缩包的十六进制,复制粘贴到010editor并保存为x.jar.gz

解压即可得flag

 

猜你喜欢

转载自www.cnblogs.com/wanao/p/10923835.html
0条评论
添加一条新回复