从pcap文件中还原文件

1

原来我也是可以做这种题的啊哈哈，
直接从wireshark中显示raw，然后只显示一端向另一端发的数据，然后保存为某文件，然后用hex编辑器(比如010 Editor，或者Windows上的winhex)打开，去除掉无关的内容，然后保存。

保存之后，由于流量中显示该文件是.tar.gz结尾，于是

➜  ~/Downloads/ctf_wireshark  tar -xvf isg2014_x.tar.gz                                       [11:21:51]x var/www/flag.txt

然后

➜  ~/Downloads/ctf_wireshark  cat var/www/flag.txt                                            [11:27:13]ISG{China_Ch0pper_Is_A_Slick_Little_Webshe11}

即可。

2 这是一个rar文件

为了参考rar的头是什么样子的，我就随便找了一个本地的rar文件，然后用010 Editro打开，发现它的头部是这样的。

➜  ~/Downloads/ctf_wireshark  hexdump /Users/caiqiqi/Downloads/ctf_wireshark.rar|head -1      [11:57:35]0000000 52 61 72 21 1a 07 00 cf 90 73 00 00 0d 00 00 00

即52 61 72 21开头，于是我按之前的方法从pcap文件中恢复的二进制数据也将以52 61 72 21开头前面的删掉。

然后得到

➜  ~/Downloads/ctf_wireshark  unrar x rootwww.rar                                             [12:01:44]UNRAR 5.50 beta 1 freeware      Copyright (c) 1993-2017 Alexander RoshalEnter password (will not be echoed) for rootwww.rar:

然而有密码…