题目地址：

链接：https://pan.baidu.com/s/12LfaZSuXtrr7Qq8SpcMm3A 
--来自百度网盘超级会员V3的分享

一、 分析

        查看这个pcap的名字，telent。就基本可以判断出他是一个远程登录的操作痕迹。

telent和ssh一样都是远程登录的协议，但是区别主要有两个：

        1.telnet是明文传输，ssh是加密传输

        2.telnet端口是23，ssh为22

 另外telnet这类远程登录协议最常见的一个特性就是：适应异构。

        为了使多个操作系统间的Telnet交互操作成为可能，就必须详细了解异构计算机和操作系统。比如，一些操作系统需要每行文本用ASCⅡ回车控制符（CR）结束，另一些系统则需要使用ASCⅡ换行符（LF），还有一些系统需要用两个字符的序列回车-换行（CR-LF）；

        再比如，大多数操作系统为用户提供了一个中断程序运行的快捷键，但这个快捷键在各个系统中有可能不同（一些系统使用CTRL+C，而另一些系统使用ESCAPE）。

        如果不考虑系统间的异构性，那么在本地发出的字符或命令，传送到远地并被远程系统解释后很可能会不准确或者出现错误。因此，Telnet协议必须解决这个问题。　为了适应异构环境，Telnet协议定义了数据和命令在Internet上的传输方式，此定义被称作网络虚拟终端NVT（Net Virtual Terminal）。

        因此有一些不可打印字符，就比如用户输入三位密码aaa，然后又删除了两个，那么这时候字符就是aaa\b\b，并不是a。

二、追踪

        首先过滤出来所有和telnet有关的包。然后追踪TCP流。 

        可以看出尝试了两次登录， 第一次登录提示flag就是passward。然后第二次是登陆成功了，那么按照道理第二次输入的字符就是正确的密码，也就是flag。

 

 但是password却不是正儿八经的密码，有一堆...，这个意思不是说表示字符”.“，而是表示不可打印字符。我们找他的二进制数据，是08。 

 经过查表，发现08是退格键，也就是删除，表明他删除了三个字符。也就是             28dxws...982kwalx8e
         28d982kwalx8e