【buuctf--被偷走的文件】

将 ftp 流量过滤下来，追踪 ftp 流量，得到下图

先解释一下这四行什么意思：

PASV： 这是FTP的命令，用于告知服务器在数据连接中使用被动模式（Passive Mode）。在被动模式下，数据连接的建立由服务器控制，而不是由客户端控制。这通常用于防火墙和网络地址转换（NAT）环境中，以避免主动模式的连接问题。

227 Entering Passive Mode (172,16,66,10,56,102)： 这是FTP服务器的响应，指示服务器已经进入了被动模式。括号中的数字表示服务器将使用的IP地址和端口。在这里，IP地址是172.16.66.10，端口是(56 * 256 + 102)，即14414。

RETR flag.rar： 这是FTP的命令，用于请求服务器传输一个文件。在这里，flag.rar 是文件的名称。

150 Opening BINARY mode data connection for file transfer.： 这是FTP服务器的响应，指示它已经在二进制模式下打开了一个数据连接，准备开始文件传输。

226 Transfer complete： 这是FTP服务器的响应，表示文件传输已经完成。

在这里发现了 flag.rar，可以 binwalk 分离出来

需要密码，放到 ARCHPR中用传统的四位数字破解

另外，也可以过滤出ftp-data的流量，追踪tcp 流量，选择原始数据

另存为 rar 压缩包，后续步骤与上述相同