介绍

HTTP协议
HTTP（超文本传输协议）是Web通信的基础，定义了客户端与服务器间的请求-响应模型。Wireshark通过捕获网络数据包，能直观展示HTTP请求的头部信息（如Method、URL、Version）和响应状态码（如200 OK、404 Not Found）。分析HTTP流量时，可观察加密（HTTPS）与非加密（HTTP）的差异，或追踪跨域请求、Cookie管理等细节，对排查网络问题、理解Web应用交互逻辑至关重要。

数据包捕获与过滤
使用Wireshark的捕获功能，用户可选择特定网络接口（如Wi-Fi或以太网）实时抓取数据包。通过应用过滤器（如http或host www.example.com），能快速筛选目标HTTP流量。捕获过程中需注意设置捕获选项（如只显示HTTP或包含所有层级），并保存捕获文件以便后续分析。此技术帮助用户聚焦于HTTP交互，避免无关数据干扰，是诊断网络延迟、篡改或性能瓶颈的利器。

响应头部解析
HTTP响应头部包含关键元数据，如Content-Type（定义内容格式）、Content-Length（数据长度）及Set-Cookie（会话管理）。Wireshark能逐项解析这些字段，揭示服务器发送的数据结构（如JSON、HTML）。通过分析头部字段，用户可验证请求是否成功、识别加密内容或追踪用户认证状态。深入理解响应头部有助于调试API交互、优化页面加载或确保数据传输安全，是Web开发与运维的核心技能。

流程

web流量分析基本套路

1. 1. 流量分析过程中传输了多种类型的数据，包括zip、rar、png、jpg以及txt和mp3文件。在处理这些数据时，特别是在面对较大的流量包时，需要特别注意数据传输的效率和安全性。
2. 2. binwalk分离文件，grep或者wireshark内ctrl+f搜索
3. 3. 分情况使用导出对象，导出分组字节流，原始数据
4. 4. 在执行搜索操作时，可以根据具体需求选择查看分组的详细信息或分组的字节流数据。
5. 5. 查看包间的差异，可以按大小排列数据包等
6. 6. PNG图片在数据传输过程中，常常被转换成Base64编码格式进行传输。
7. 7. 如果有TLS，要么找密钥，要么看别的协议

普通http流量

通过Wireshark软件来载入并分析指定的网络数据包文件。

可以点击Protocol，按协议进行排序

也可以直接按请求方式过滤

http.request.method == "GET"  http.request.method == "POST"

据观察，大多数请求返回了404错误，仅有三个请求成功，并且这些成功的请求传输的是编码数据。

点击右击选择追踪流->http流

进行base64解码

第二个是flag.txt

在流量列表中，选中目标条目后，右键点击并选择"导出分组字节流"功能。

因为url访问的是

print\_r(gzcompress(file\_get\_contents(base64\_decode(%22ZmxhZy50eHQ%22))));

需要解码

gzcompress  相反的函数就是  gzuncompress

decode.php

<?php  $file=file\_get\_contents("./flag.bin");  $file=gzuncompress($file);  var\_dump($file);  ?>

获取标志

阅读原文：原文链接