附件题：传统流量取证

题目描述：

在某次攻防演练中，小王发现流量探针平台突然告警，小王第一时间下载了告警流量包，并进行分析：发现攻击队攻击在攻入内网后，利用了一个内网OA的一个漏洞，获取了某机器权限，并成功下载了一个关键压缩包文件。你能帮忙分析出压缩包里面的内容吗？

附件下载：

https://download.csdn.net/download/qpeity/33885850https://download.csdn.net/download/qpeity/33885850

---

附件解压缩得到一个告警包.pcapng。根据提示“成功下载了一个压缩包文件”，筛选http.response.code == 200，从后往前找发现 No.2212 是 Response 似乎传输了文件。找到 No.2212 对应的 Request，也就是 No.625 ，发现了“Form item: "z1" = "C:\\security.emtp.zip"”。

接下来，流追踪——TCP 流。 选择下载文件的传输方向，数据以原始数据的方式展示，另存为security.emtp.zip。

把 security.emtp.zip 解压缩得到一个文件 security.emtp 。这个是用工控软件 EasyBuilder Pro 打开的。找到 EasyBuilder Pro v6.05并安装，打开文件 security.emtp，在主界面得到flag —— flag{beSt_nucl@ar}