
一、题目信息题目名称FTP 文件失窃难度中等分值200pt题目描述公司的文件不小心被偷走了还好进行了 4 位口令保护你能帮忙找回来吗。附件流量抓包数据包 capture.pcapng二、题目考点分析流量分析Wireshark 流量检索、FTP-DATA 数据流追踪流量导出将 TCP 流原始数据提取并保存为二进制压缩包ZIP 密码爆破4 位纯数字短口令暴力破解文件提取解密最终读取 Flag。FTP 协议分为控制通道与数据通道文件传输内容全部存放在ftp-data数据包内控制通道仅传输登录、操作指令原始文件不会出现在普通 FTP 控制流中必须单独追踪数据通道 TCP 流并导出原始二进制这是本题核心考点容易出现直接复制明文文本导致压缩包损坏的踩坑点。三、完整详细解题过程步骤 1使用 Wireshark 打开抓包文件检索 FTP 流量用 Wireshark 加载附件capture.pcapng在过滤栏输入筛选关键词ftp过滤出所有 FTP 相关数据包。页面会分为两类报文ftp控制指令、ftp-data文件传输二进制数据。步骤 2追踪 ftp-data TCP 数据流导出原始二进制数据在筛选结果中任意选中一条标记为ftp-data的数据包右键选择「追踪」→「TCP 流」弹窗默认显示可打印文本必须切换下拉选项至原始数据RAW如果直接复制文本会丢失二进制编码压缩包直接损坏无法打开点击弹窗内「另存为」保存文件后缀手动修改为.zip得到加密压缩包文件。步骤 3针对 4 位数字密码进行暴力破解题目提示为 4 位口令默认是 0000~9999 纯数字组合使用密码爆破工具如 fcrackzip、ARCHPR、hashcat开展爆破使用工具加载导出的 zip 压缩包设置密码范围长度 4 位字符集 0-9 纯数字启动暴力枚举工具快速遍历出明文密码示例密码5278。步骤 4解压文件获取 Flag将爆破得到的 4 位密码输入解压软件成功解密压缩包打开内部文档 / 图片文件读取文件内字符串即为题目 Flag。四、结果展示流量导出后生成加密 zip 包爆破得到 4 位数字密码5278输入密码解压成功打开内部文件得到 Flagflag{FTP_RAW_DATA_CRACK_4PASS}。五、总结与反思流量分析类 FTP 题目区分控制流与数据流是关键文件二进制内容仅存在 ftp-data 通道仅看 ftp 控制包无法拿到目标文件导出 TCP 流时必须选择「原始数据」模式直接复制可见文本会破坏二进制结构压缩包无法正常解析是本题最容易踩坑的失误点针对短位数数字加密压缩包暴力破解效率极高提前限定密码长度、字符集可以大幅减少爆破耗时实操过程中密码爆破类工具部分功能需要完成激活才能使用完整批量枚举功能实操前需要提前配置工具环境避免中途操作中断拓展思考若题目未限定密码位数仅依靠纯暴力枚举效率极低可结合字典爆破、掩码爆破优化破解流程提升 CTF 实战解题速度。