流量分析中的Sql注入

在流量分析的场景中，有一类场景是抓取Sql攻击的流量，通过分析Sql流量来判断攻击者获取了什么敏感字符。
下面以一道例题为例。

打开数据包观察是HTTP报文为主。
一般流量除非是加密或者不常见的协议，否则通常都建议打开导出==>HTTP查看报文大致信息。

这里观察到了Sql流量的特征
如果不了解Sql注入的可以先去学习一下Sql注入。
经过观察，发现是逐个读取尝试试验ASCII码，通过返回包的大小来进行校验。
获得正确值返回包大小是704
获得错误值返回包大小是720
这里可以根据大小排序。

通过排序后，可以看到是从第一位爆破到第25位。
提取出数值

102 108 97 103 123 119 49 114 101 115 104 65 82 75 95 101 122 95 49 115 110 116 105 116 125

Ascii码转码得到

flag{w1reshARK_ez_1sntit}