我有一个 PCAPNG 文件,我需要从中检索两个文件,一个是 TXT,另一个是 PNG。提供的文件没有 FTP-DATA,只有 ARP、DHCP、DNS、FTP、HTTP、IGMPv3、OCSP、SSDP、TCP、TLSv1.2、TLSv1.3 和 UDP 数据包。
这是遵循的 TCP 流和所需的文件:
220 pyftpdlib 1.5.5 ready.
USER anonymous
331 Username ok, send password.
PASS pass
230 Login successful.
SYST
215 UNIX Type: L8
TYPE I
200 Type set to: Binary.
PORT 192,168,0,101,184,151
200 Active data connection established.
STOR top_secret_XOR.png
125 Data connection already open. Transfer starting.
226 Transfer complete.
PORT 192,168,0,101,189,23
200 Active data connection established.
STOR old_password.txt
125 Data connection already open. Transfer starting.
226 Transfer complete.
QUIT
221 Goodbye.
我如何才能检索或者至少查看这个文件的内容?
答案1
PORT 192,168,0,101,184,151 ... STOR top_secret_XOR.png
这意味着数据连接的目的地是 192.168.0.101 端口 47255(184*256+151)。如果有与此目标 IP 地址匹配的 TCP 流,则该流的完整有效负载是传输的文件,即您只需顺流而上并将其内容保存到文件中。