【buuctf--被偷走的文件】
将 ftp 流量过滤下来,追踪 ftp 流量,得到下图
先解释一下这四行什么意思:
PASV: 这是FTP的命令,用于告知服务器在数据连接中使用被动模式(Passive Mode)。在被动模式下,数据连接的建立由服务器控制,而不是由客户端控制。这通常用于防火墙和网络地址转换(NAT)环境中,以避免主动模式的连接问题。
227 Entering Passive Mode (172,16,66,10,56,102): 这是FTP服务器的响应,指示服务器已经进入了被动模式。括号中的数字表示服务器将使用的IP地址和端口。在这里,IP地址是172.16.66.10,端口是(56 * 256 + 102),即14414。
RETR flag.rar: 这是FTP的命令,用于请求服务器传输一个文件。在这里,flag.rar 是文件的名称。
150 Opening BINARY mode data connection for file transfer.: 这是FTP服务器的响应,指示它已经在二进制模式下打开了一个数据连接,准备开始文件传输。
226 Transfer complete: 这是FTP服务器的响应,表示文件传输已经完成。
在这里发现了 flag.rar,可以 binwalk 分离出来
需要密码,放到 ARCHPR中用传统的四位数字破解
另外,也可以过滤出ftp-data的流量,追踪tcp 流量,选择原始数据
另存为 rar 压缩包,后续步骤与上述相同