步骤1：只筛选HTTP流量 1. 找到Wireshark顶部过滤表达式输入框（提示文字：表达式…）2. 输入过滤语句： http 1. 回车，列表仅保留HTTP协议数据包，过滤掉TCP、DNS、ARP等无关流量。 步骤2：追踪HTTP完整明文流 1. 在数据包列表选中GET请求数据包（示例中第7帧）2. 右键 → 追踪 → HTTP流3. 弹窗分区说明：- 上半部分：客户端发送的GET请求明文- 下半部分：服务器返回响应（如301重定向、200返回内容）4. 视图切换：右上角下拉框可切换ASCII/原始数据5. 全选文本 Ctrl+A 复制保存，重点排查：- 长串Base64编码字符串- flag 、 {} 等flag特征字符- 图片链接、文件名、图片二进制标识6. 关闭流窗口返回主界面。 步骤3：全局搜索flag、大括号关键字 快捷键 Ctrl+F 打开数据包查找窗口，参数配置： 1. 查找类型：字符串2. 搜索内容依次输入检索： flag 、 { 、 } 3. 搜索范围：数据包详情4. 点击查找，逐个定位匹配数据包查看详情。 步骤4：通过文件头过滤图片二进制流量 筛选PNG图片（文件头 89 50 4E 47 ） 过滤框输入： tcp contains 89:50:4E:47 筛选JPG图片（文件头 FF D8 FF ） 过滤框输入： tcp contains ff:d8:ff 操作：匹配到数据包后右键 → 追踪TCP流，视图切为原始数据，复制二进制数据保存。 步骤5：导出HTTP传输的图片/文件（最常用提取方法） 1. 顶部菜单栏：文件 → 导出对象 → HTTP2. 弹窗列出所有HTTP上传/下载文件，查看「内容类型」：- image/png PNG图片- image/jpeg JPG图片3. 选中图片条目 → 保存，导出本地后直接打开查看隐藏信息、flag。 配套补充实用技巧 1. 清除过滤器：过滤框输入空白后回车，恢复全部流量2. 区分 http 和 http2 ：现代网站多用HTTP2，过滤需用 http2 3. 导出文件找不到图片时：优先用步骤4二进制文件头过滤兜底4. 追踪流后乱码：切换原始数据视图，大概率是图片二进制而非明文
————————————————
版权声明：本文为CSDN博主「2501_94225865」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/2501_94225865/article/details/162211892