XCTF Wireshark

我们首先下载附件

然后将流量包用wireshark打开，首先搜索flag,并没有搜到

接着我们继续观察，打开一个TCP流，发现并没有什么东西

我们打开一个HTTP流，发现里面东西还挺多，这是一个html代码，并且HTTP流的数据包挺少的，

通过我们发现HTTP流挺少的我们过滤一下

发现里面有png图片和html代码，那么对HTTP流进行导出，导出一个新创建的文件夹中

我们用VScode打开第一个，发现是个0

那么我们对他们依次进行VScode查看，发现%5c(1)和%5c(4)都是有png图片，

发现这几个都是html代码,我们将后缀全改为html

改完之后我们依次进行打开，发现只有img_add_info.html 能打开，打开发现说明图片里面有隐藏信息要让我们解密，回到之前我们发现了两张图片，我们将两张图片分离出来，先将%5c(1)拖到010里面，因为这是一个png图片我们直接搜索89 50,把前面的内容都删了

接着所属png的尾部49 45 4E 44 后面得全删了我们保存，将%5c(1)的后缀改为png，打开是重复上述操作，分离第二张图片，打开回到之前我们打开的网址将图片放上去，因为有密码，那么我们要先找到密码，因为我们分离了两张图片，我猜测密码在第一个图片里面

我们打开工具，可以直接看到还原后的图片

这就是密码，我们把密码输入进去发现了一串数字：44444354467B5145576F6B63704865556F32574F6642494E37706F6749577346303469526A747D，我们上工具直接梭，

发现它是base16解密，flag：DDCTF{QEWokcpHeUo2WOfBIN7pogIWsF04iRjt}