前言

一个题目需要提取pacp包里的文档。其实是一个非常简单的题目，我这里做一下记录，有些槽点需要吐槽一下。

【PS：其实很简单，只是想分享一些自己的思路和见解，大神绕路】

题目

从一个网站抓取的数据包，攻击者上传了一个文件，请从pacp将文件还原。

要求：

请说明寻找过程。

请说明还原方法。

【经常打ctf的大师傅其实一眼就看到答案了】

观察

只有两个协议，tcp和http。追踪一下流：

登陆网站

在主页，调了一些东西：

其实打靶场多了就知道，这是dvwa，Low级别

tcp这些都看的不舒服，直接追踪http：

选择了一个靶场inlcude的，那就很好办了。

追踪到下一个http流，找到看看上传了什么：

传了一个Docx文件

找到之后来看：

筛选一下，length选择最大的，然后info一栏可以看出是什么格式。

提取文件

方法一：

这种方法最简单粗暴，左上角一套带走。

方法二：

选择需要导出的包，然后左上角导出数据流。【有些版本，右键即可】

方法三：

使用binwalk跑一下，看看能分离出什么：

binwalk 大多数时候是无脑 e，但是有时候也需要配合 dd命令进行切割导出。

导出文件

修改后缀

切记要用office打开，wps无法读取。

结语

wps与office水火不容，能用office尽量office，因为这样正规。

这是某司的面试题，有其他小伙伴说直接方法一提取就行啦，看这么多干啥呢？这种方法我也认可，ctf里我也是这样干的。但这是面试官想看到的吗？面试官看的是一个思路，想知道面试者怎么一步步提取出来。ctf出题者当然知道你会用方法一，因为这已经是预期解的一部分。

《新程序员》：云原生和全面数字化实践50位技术专家共同创作，文字、视频、音频交互阅读

总结

以上是生活随笔为你收集整理的【网络安全】详细记录一道简单面试题的思路和方法的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。