题目链接:攻防世界 (xctf.org.cn)
题目:我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是,我们忘记备份我们的flag文件了。幸运的是,我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗?
下载得到pcap格式文件,wireshark打开。统计-协议分级,发现主要有UDP、TCP和TLS三种协议。
由于TLS流需要密钥解密才能查看内容,先看UDP流。统计-Conversations,观察到只有一条UDP流。
选中后点击Follow Stream:
