前言

一個題目需要提取pacp包里的文檔。其實是一個非常簡單的題目，我這里做一下記錄，有些槽點需要吐槽一下。

【PS：其實很簡單，只是想分享一些自己的思路和見解，大神繞路】

題目

從一個網(wǎng)站抓取的數(shù)據(jù)包，攻擊者上傳了一個文件，請從pacp將文件還原。

要求：

請說明尋找過程。

請說明還原方法。

【經(jīng)常打ctf的大師傅其實一眼就看到答案了】

觀察

只有兩個協(xié)議，tcp和http。追蹤一下流：

登陸網(wǎng)站

在主頁，調(diào)了一些東西：

其實打靶場多了就知道，這是dvwa，Low級別

tcp這些都看的不舒服，直接追蹤http：

選擇了一個靶場inlcude的，那就很好辦了。

追蹤到下一個http流，找到看看上傳了什么：

傳了一個Docx文件

找到之后來看：

篩選一下，length選擇最大的，然后info一欄可以看出是什么格式。

提取文件

方法一：

這種方法最簡單粗暴，左上角一套帶走。

方法二：

選擇需要導(dǎo)出的包，然后左上角導(dǎo)出數(shù)據(jù)流。【有些版本，右鍵即可】

方法三：

使用binwalk跑一下，看看能分離出什么：

binwalk 大多數(shù)時候是無腦 e，但是有時候也需要配合 dd命令進行切割導(dǎo)出。

導(dǎo)出文件

修改后綴

切記要用office打開，wps無法讀取。

結(jié)語

wps與office水火不容，能用office盡量office，因為這樣正規(guī)。

這是某司的面試題，有其他小伙伴說直接方法一提取就行啦，看這么多干啥呢？這種方法我也認(rèn)可，ctf里我也是這樣干的。但這是面試官想看到的嗎？面試官看的是一個思路，想知道面試者怎么一步步提取出來。ctf出題者當(dāng)然知道你會用方法一，因為這已經(jīng)是預(yù)期解的一部分。

《新程序員》：云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的【网络安全】详细记录一道简单面试题的思路和方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。