BugKu-分析-中国菜刀（两种解法）

文件caidao.zip，解压后caidao.pcapng

分析两种方法：流量包里导出压缩包和binwalk直接分析文件

 

方法一：流量包tcp流导出压缩包

搜索http，总共6个流浪包，逐个分析

 

点击第一个http包，选择复制纯文本(追踪-tcp流或者直接复制)

去掉头尾，在尾部加上==，用BASE64解码

逐个分析。
看着$D应该是显示文件啥的！！
继续走！

第二个是个显示的文本，好像没啥，继续！

第三个：

同第一个解码：

好像是显示3.php里的内容的。继续走！！
分析第4个http包：

 

发现是php的一句话木马。
觉得应该离flag不远了！继续走：
第五个包：

同样解码

发现是显示一个flag.tar.gz一个压缩包里面的东西，这个里面应该就是flag了。
继续分析最后一个！！

发现是一串看不懂的乱码！！

直接右键显示分组字节：

最后解码改成压缩，开始一直点增加，最后就会出现flag！！！
直接找到：

 

 

 

方法二：kaili下binwalk分析提取文件

打开 kali_Linux ，使用 binwalk 查看。

 先来扩展一下~

binwalk常用命令：

-e 分解出压缩包

 binwalk -e xxx 

-D或者--dd 分解某种类型的文件（在windows里要用双引号括起来）

 binwalk -D=jpeg xxx 

dd if=源文件 of=目标文件 skip=源文件decimal  bs=1

-M 递归分解扫描出来的文件（得跟-e或者-D配合使用）

 binwalk -eM xxx 

扩展结束~

因此，我们将pcapng文件拖进kali_Linux里面。

 

在所在文件夹下打开终端。

输入命令：

 binwalk -e caidao.pcapng 

我们可以看到里面存在一个压缩包。

 

 

那么我们使用binwalk的dd命令~

请看下图~

 

已经将压缩文件分解啦~

 

进入已经分解好的文件夹，查看内容~

key{8769fe393f2b998fa6a11afe2bfcd65e}

【注】参考https://www.cnblogs.com/0yst3r-2046/p/12213278.html

https://blog.csdn.net/qq_42967398/article/details/85034840