给了一个pcap包,提示使用了ftp协议:
过滤以后,跟踪tcp流得到:
可以看到是使用了ftp的被动模式传输了两个文件,又因为ftp协议传一个文件使用一个连接,所以前后打开了两个端口,这里要说一下打开端口号的计算方式:
以下图为例
开启的端口就是159*256+247 = 40951
既然知道了用于传输文件的端口,那么就把这两个文件都搞出来,看看到底是什么。
先看hello.txt
开启的端口是33303,那么就先过滤端口还33303的数据包:
跟踪TCP流:
再看另一个(从题目也能看出flag肯定在这):
save as-> 2.png
查看:
