题目文件key.pcapng题目描述flag被盗赶紧溯源题目题解①可以只将这个数据包当做文本文件打开比如用一些notepad编辑器然后直接搜索②用Wireshark自带的搜索功能找尝试查找一些关键词比如key、flag、shell、pass等然后跟进可疑的数据包根据数据包特征很明显看出这是一个菜刀连接一句话木马的数据包然后往下找即可看到读取的flag文件提取例题一题目文件 caidao.pcapng题目描述有人偷偷下载了文件题目题解根据题意可能数据包中存在文件传输尝试直接导出选择File文件–Export Objexts导出对象然后可以看到一些协议比如选中http就可以看到通过http传输的一些文件在右下角有导出按钮可生生成相应的文件。但是本题中无法用此方法直接看到被下载的文件因为有些文件是直接通过tcp或udp协议传输的http协议只能看到的访问的链接但不会看到传输的内容比如你去访问放一个链接download.php?filetest.rar通过上述导出对象的方式看不出来下载的文件的内容的这个时候就需要找到那个执行下载的数据包找到数据传输的部分再导出比如下面这个数据包大概是一个菜刀下载的过程在最后一个包可以看到下载的文件直接右键点击“导出分组字节流”然后保存为.tar.gz文件本题中最后还要使用16进制编辑器去除开头和结尾的XY字符这个是菜刀的特征符号不是文件内容————————————————