过滤http发现,共有四条会话(一个POST包一个回包)
查看HTTP流
%开头,url编码,urldecode
将&z0=后的内容进行base64解码
或者可以根据回包推测POST包请求的东西
第一个回包:
显示主机信息,推测使用uname -a命令
第二个回包:
在->| |<-中间的内容为目录,推测使用ls
第三个回包:
推测使用cat isg.php
第四个回包:
看似乱码的部分实则为x.tar.gz的数据流,将数据的显示转为Hex转储
.tar.gz压缩格式的文件头为 1F 8B ,去掉->|和|<-(这六个字符毫无意义,中间的内容才是真正有意义的东西)发现正是.tar.gz压缩包的十六进制,复制粘贴到010editor并保存为x.jar.gz
解压即可得flag
