bugku 中国菜刀 writeup

自己真的是很愚笨，参考了很多，才终于了解了。

用 wireshark 写的

也参考了很多大神的写法

http://www.bugku.com/thread-11-1-1.html

也有位大佬补充了一点

http://blog.csdn.net/Sanky0u/article/details/76167670

但考虑可能小白真的白（比如我），所以根据自己的思路再补充一点（做这个真的有点抓狂了，所以想补充）

用wireshark打开之后直接拉到最下面，有个HTTP包，右击——》追踪流——》HTTP

这样子，是有三栏的，最上面是数据包，点一下最后那个HTTP；然后是最下面那一栏（类似于winhex那样的），找到压缩文件的部分；中间那一栏，右键显示字节流分组。

其余的上面分享的两位博主已经描写的很全面了，只是我比较笨，一直找不到显示字节流分组在哪。。。。原理也不是很明白。。。。欢迎大佬指正