攻防世界 misc题心仪的公司

1.工具：Wireshark

2.解题：

我们打开附件，看到了一个webshell.pcapng文件，我们知道这是流量分析题，我们可以用Wireshark打开，我们先尝试搜索一下flag，

方法：

①按CTRL+F，出现如下

会出现如上图片最下方的输入框；

②我们输入flag，前面选分组字节流，如下

然后我们按右边的查找；

③我们发现了像flag的，如下

但是输入后发现这并不是正确的flag。

我们发现用搜索得到的flag是一个误导的flag，我们需要重新分析一下题目，我们从文件名上得到启发，文件名里有shell，而webshell主要通过HTTP协议与攻击者通信，执行命令和操作文件，所以我们可以尝试过滤一下http contains "shell"，

*如何搜索：

我直接截图一下，如下

然后按一下ENTER键，得到如下

我们看到从倒数第二行进，最后一行出，我们双击最后一行，如下

划到最后我们看到了一个fl4g，怀疑是题目的答案，我们复制一下

*如何复制：

①先把刚才打开的界面叉掉；

②右击，选追踪流中的HTTP Stream，如下

③划到最后，如下

我们找到了fl4g，这时我们就可以直接复制了，得到这题的flag为fl4g:{ftop_Is_Waiting_4_y}