Forensics2
今天做一下CTF的Forensics2题目。题目中给的提示:something about file,是关于文件的。打算用wireshark查看所给文件中有关文件的协议。已知的常用的文件传输协议有ftp,tftp,nfs。
FTP、TFTP、NFS三种文件传输协议的区别
-
文件传送协议FTP(File Transfer Protocol)是Internet上使用比较广泛的文件传送协议。FTP提供交互式的访问,允许客户指明文件的类型与格式,并允许文件具有存取权限。FTP屏蔽了各种计算机系统的细节,因此适用于在异构网络中任意计算机之间传送文件。它的基本应用就是将文件从一台计算机复制到另一台计算机中。它要存取一个文件,就必须先获得一个本地文件的副本,如果修改文件,也只能对文件的副本进行修改,然后再将修改后的文件副本传回到原节点。 几个关键词:交互式、存取权限和副本。
-
简单文件传送协议TFTP(Trivial File Transfer Protocol)是一个小而易于实现的文件传送协议。TFTP是基于UDP数据报,需要有自己的差错改正措施。TFTP只支持文件传输,不支持交互,没有庞大的命令集。也没有目录列表功能,以及不能对用户进行身份鉴别。但它的代码所占内存较小,不需要硬盘就可以固化TFTP代码,很适合较小的计算机和特殊用途的设备。
-
NFS最初应用于UNIX操作系统下,它允许应用进程打开一个远地文件,并能够在该文件中某一个特定位置上开始读写数据。
-
FTP与的TFTP,NFS的区别
您会发现TFTP和FTP一个主要的区别就是它没有交互式,且不进行身份验证。FTP在修改数据文件时是需要首先获得一个文件的副本,如果计算机A上运行的应用程序要在远地计算机B的一个很大的文件中添加一行信息。那么就需要将此文件从计 算机B传送到计算机A,添加好信息后再回传到计算机B。来回传输这样大的文件很花费时间,而这种传送是不必要的。而NFS可使用户只复制一个大文件中的一个很小的片段,在网络上传送的只是少量的修改数据。
解题步骤
-
下载所给的pcap文件,用Wireshark打开。
-
从报文中找出对文件的读写操作,即搜索read和write操作,搜索read无果;
-
搜索nfs,write,看到flag.txt文件之后,在call中看到Data数据,右击显示分组字节。
-
选择解码为“压缩”,既可以得到flag。
