BUUCTF 被偷走的文件 1

BUUCTF:https://buuoj.cn/challenges

题目描述：

一黑客入侵了某公司盗取了重要的机密文件，还好管理员记录了文件被盗走时的流量，请分析该流量，分析出该黑客盗走了什么文件。

密文：

下载附件，解压得到一个被偷走的文件.pcapng文件。

解题思路：

双击文件，打开wireshark。翻阅流量时找到ftp的流量，将ftp流量过滤下来。

追踪ftp流量，发现流量中有flag.rar压缩包。

从这里开始有二种解题的方法：

第一种方法： 使用Kali中的foremost工具，将rar压缩包从pcapng文件中提取出来。（wireshark 截取的流量中，会截取文件传输对应的流量，也就是说，这个流量包将包括 flag.rar压缩包）

第二种方法： ftp协议有个ftp-data是ftp的数据通道，过滤出ftp-data的流量。

追踪TCP流，将数据类型选择原始数据，另存为rar压缩包。

得到压缩包后，尝试解压压缩包，但是需要密码。

因为没有关于密码的提示，所以使用常用的4位纯数字进行破解。使用ARCHPR工具，选定参数，破解得到密码为5790。

用密码解压rar压缩包，得到flag.txt文件，打开得到flag。

flag：

flag{6fe99a5d03fb01f833ec3caa80358fa3}