关注这个靶场的其它相关笔记：攻防世界（XCTF） —— 靶场笔记合集-CSDN博客

0x01：考点速览

本关考察的是网络流量分析，要想过此关，你需要有以下技术：

• 知道如何追踪 TCP/HTTP 流量，并且对流量中的特殊文件有一定的敏感性。

  • 针对特殊的文件后缀可以做一个字典，直接挨个搜就好。

• 知道如何从 PCAP 流量包中提取出文件。

  • Foremost 提取文件（提取出的文件默认放在 output 文件夹中）：

    • 安装：sudo apt install foremost

    • 使用：foremost webshell.pcap

0x02：Write UP

从靶场中将网络流量包下载下来，然后搜索 Flag 关键字（此处属于一般流程），然后流量包里只有一条符合信息：

然后右击那个流量，选择 “追踪流” => “TCP Stream”（快捷键：Ctrl+Alt+Shift+T），然后向下翻，会发现一个叫 file.pdf 的东东，证明了这个网络请求包中包含了一个 pdf 文件：

下面我们就要将这个 pdf 文件从流量包中进行分离，这里我们用到 Foremost 这款工具（Linux 系统上运行）：

然后右击 output 文件夹，选择 “open as root”，即用 root 方式打开文件夹（不然的话，你可能会由于用户权限问题而无法看到 pdf 文件），即可找到 Flag：

0x03：参考资料

Foremost简介-腾讯云开发者社区-腾讯云上周在 安恒萌新粉丝群：928102972分享介绍了 binwalk，今天分享一款同样可以用来文件还原分离的神器。 foremost是一个 控制台程序，用于根据页眉，页脚和内部数据结构 恢复文件。 Foremost可以处理图像文件，例如由 dd， Safeback， Encase等生成的图像文件，或直接在驱动器上。页眉...https://cloud.tencent.com/developer/article/1400696

pcap流量中提取文件的五种方法_tcpxtract-CSDN博客文章浏览阅读1.3w次。找到一个pcap流量文件，使用如下命令，即可提取数据中的文件。2. 安装NetworkMiner下载地址：http://sourceforge.net/projects/networkminer/files/latest/download下载后，使用该软件打开pcap文件，提取文件即可。安装完成后，使用如下命令：4. 安装chaosreader这个我还没测试过，先插眼，玩意后面需要使用。工具地址：https://github.com/brendangregg/Chaosreader使用如下命_tcpxtracthttp://iyenn.com/rec/1646236.html