数据包取证总结
1. 先观察题目,如果题目有明确指示某端口,或某协议。然后根据提示的端口和协议构
造过滤表达式,否则话一般都是考 http 协议的那种 (wireshark 打开数据包后,使用了过滤表达
式后先搜索一下关键字 flag,如果简单的题话会有 flag)
题目:BUUCTF-Misc-sqltestfl
2. 如果题目有类似于 BUUCTF-Misc-sqltest 这种类型的,二话不说 wireshark 打开数据包
后,直接导出全部为 html,根据题目来获取 flag
参考文档:第一届 HappyCTF 大赛 WriteUp.pdf
特殊的题目:BUUCTF-Misc-秘密文件。给你一个数据包,然后题目的要求是:
Wireshark 打开后,我一开始以为是 http 流量。因为之前的题才是流量,后面
我在某条数据见到一些字
评论0