CTF之《抓到一只苍蝇》解析

文件地址： http://pan.baidu.com/s/1bnGWbqJ

提取码：oe6w

下载下来为 pcapng格式，用wireshak打开。

可以看到JJFLY ，哦不，fly.rar size:525701.

路径中存在upload，可猜测为上传，过滤规则为http.request.method=="POST";

后面几个post包里面应该是文件碎片

第2-6个文件的Medie Type 域 字节分别为 131436 131436 131436 131436 1777

>>> 131436*4
525744
>>> 525744+1777
527521
>>> 527521-525701
1820
>>> 1820/5
364
>>>
每个文件头部相同的字节为通信内容，我们要的是附件rar所以计算得每个文件多出来了364

把他们的二进制文件保存

合成文件前先科普Linux/Unix语法：

语法：dd [选项]

if =输入文件（或设备名称）。

of =输出文件（或设备名称）。

ibs = bytes 一次读取bytes字节，即读入缓冲区的字节数。

skip = blocks 跳过读入缓冲区开头的ibs*blocks块。

obs = bytes 一次写入bytes字节，即写入缓冲区的字节数。

bs = bytes 同时设置读/写缓冲区的字节数（等于设置ibs和obs）。

root@kali:~/下载# dd if=fly_1 bs=1 skip=364 of=fly_1.1
记录了131072+0 的读入
记录了131072+0 的写出
131072字节(131 kB)已复制，0.198481 秒，660 kB/秒
root@kali:~/下载# dd if=fly_2 bs=1 skip=364 of=fly_2.1
记录了131072+0 的读入
记录了131072+0 的写出
131072字节(131 kB)已复制，0.239573 秒，547 kB/秒
root@kali:~/下载# dd if=fly_3 bs=1 skip=364 of=fly_3.1
记录了131072+0 的读入
记录了131072+0 的写出
131072字节(131 kB)已复制，0.209486 秒，626 kB/秒
root@kali:~/下载# dd if=fly_4 bs=1 skip=364 of=fly_4.1
记录了131072+0 的读入
记录了131072+0 的写出
131072字节(131 kB)已复制，0.166502 秒，787 kB/秒
root@kali:~/下载# dd if=fly_5 bs=1 skip=364 of=fly_5.1
记录了1413+0 的读入
记录了1413+0 的写出
1413字节(1.4 kB)已复制，0.00426583 秒，331 kB/秒
root@kali:~/下载# cat fly_1
fly_1    fly_1.1  
root@kali:~/下载# cat fly_1.1 fly_2.1 fly_3.1 fly_4.1 fly_5.1 > JJFLY.rar