下载文件,是pcapng流量包,打开总共也就33个包,可以http筛选,关键流量包在最后这里
默认是这样的
调整一下就出来了
连flag值都没变~~
前面的几个包也可以看下
中间部分是base64编码,大致是读目录列表操作,后面有返回目录列表,看结构应该是windows的
后面还有个http请求返回包
这里是请求C:\wwwroot\flag.tar.gz文件,并有返回
这里本来还以为要导出分组并保存为压缩包格式,可能还需要压缩包密码啥的,没想到不用
参考:
[CTF]BugkuCTF - 分析 - 中国菜刀 - 知乎