如何将添柴不加火为一个的应用于Webshell流量分析？

目录题目流量分析 题目 这是一道ctf题目，只需要找到flag即可。 流量分析 首先打开流量包，协议分级，发现HTTP流占比较多 过滤HTTP流，大致看一下，发现上传了php文件 过滤POST请求 分析第一个HTTP流，发现一句话木马，典型的蚁剑流量 继续往下分析，解密蚁剑流量 继续分析，发现上传了一张图片，但是png头前面有其他字符，结尾也是，将其删除 找到其返回包，对text data进行“显示分组字节”操作，然后通过右下角的开始、结束进行删除多余字符串 删除之后，点击显示为“图像” 其实也可以写脚本删除多于字符并输出图像，脚本如下： 点击查看代码 with open('A:/下载/1.txt', 'rb') as f: data = f.read() # 查找标识符位置（注意标识符在响应体中是以文本形式存在的，需处理编码） # 响应体中的标识符是 "ebd5863dd2" 和 "20b0e2946" start_marker = b'ebd5863dd2' end_marker = b'20b0e2946' start = data.find(start_marker) + len(start_marker) end = data.find(end_marker, start) if start != -1 and end != -1: png_data = data[start:end] with open('A:/下载/output.png', 'wb') as out: out.write(png_data) print("图片已保存为 output.png") else: print("未找到标识符") 得到密钥key 继续分析流量，发现最后有一个压缩包，将其导出并解密，得到flag