[GKCTF 2021]签到(详细解析)

进入题目后，参赛选手会下载到一个名称为tmpshell.pcapng的文件。首先，使用WIRESHARK打开后，会发现一系列ARP,TCP,HTTP报文。常规思路，跟踪TCP数据流，在第五个流（tcp.stream eq 5）中发现可疑信息。