信息安全实训第一周第四天汇报

1 FTPASS

提示1：巧用追踪流

提示2：找到FTP密码即可

通过使用wireshark工具，再过滤出过滤出ftp报文，即可找到用户和密码。

2 数据包中的线索

公安机关近期截获到某网络犯罪团伙在线交流的数据包，但无法分析出具体的交流内容，聪明的你能帮公安机关找到线索吗？

提示1：追踪与获取文件有关的HTTP报文

提示2：文件内容的编码

提示3：转码网站：the-x.cn

提示4：结果为flag{}

在wireshark中过滤出http报文，

通过转码工具可以转化成一幅图片包含flag{}

3 被嗅探的流量

某黑客潜入到某公司内网通过嗅探抓取了一段文件传输的数据，该数据也被该公司截获，你能帮该公司分析他抓取的到底是什么文件的数据吗？

提示1：HTTP流量

提示2：追踪上传文件相关的痕迹（POST请求）找到flag

提示3：结果为flag{}

在wireshark工具中过滤出http报文找到post请求追踪http流，出现码文，转化为flag{da73d88936010da1eeeb36e945ec4b97}

4 大白

看不到图？ 是不是屏幕太小了。

提示1：图显示不全

提示2：如何修改图片大小显示出隐藏的部分？（winhex软件）

提示3：结果为flag{}

在winhex工具中打开图片，

第二行0-3列代表图片的宽，

16进制转化为10进制00 00 02 A7转10进制是679

00 00 01 00转10进制是256

所以

图片是679*256的

宽度不变，修改长度后，完整图片暴露，出现flag

5秘密藏在了哪里？

RT。

提示1：压缩包注释信息是真正的压缩包（但数据有损坏）

提示2：如何根据压缩文件的头尾特征修复损坏的数据？（Hxd软件）

提示3：保存为文件后解压。

打开压缩包RAR看到右下角16进制码，

将RAR中显示的16进制数对上图前面位数的16进制数进行替换

替换结果如下

保存文件，再次打开压缩包，wrongflag变为trueflag

打开txt文档出现flag

小明的保险箱

小明有一个保险箱，里面珍藏了小明的日记本，他记录了什么秘密呢？告诉你，其实保险箱的密码是小明的银行密码。

提示1：winhex打开，查看图片中是否包含zip、rar(通过文件头判断)等文件？

提示2：修改图片后缀得到加密压缩包

提示3：密码是小明的银行卡密码（有什么特征？），压缩包密码爆破（AAPR工具）。

在010Editor工具上通过搜索Rar查找该图片包含rar文件

通过修改文件后缀出zip压缩包，包含txt文档

该文档被加密

需暴力破解出密码

利用archpr工具，打开文档所在压缩包

暴力破解完成出现密码

输入密码出现flag。

7 刷新过的图片

RT。

提示1：图片 F5 隐写解密（https://github.com/matthewgao/F5-steganography）

提示2：zip 伪加密，如何修复被改动的数据？（010 editor工具）

提示3：结果为flag{}

将图片放入F5文件夹

修改解密文件

运行完毕出现output文档

打开为乱码，

发现该文档是存在zip头缀

打开output压缩包存在一个flag文档是伪加密

使用winhex工具修改内容，

将第6行 14后 00 01修改为

00 08即可

再次打开压缩包flag.txt文档出现flag

题目1 so easy

右键点属性详细信息里包括flag

flag{870c5a72806115cb5439345d8b014396}

题目2 让暴风雨猛烈些吧

暴力破解

题目3 biubiu

在stegsolve.jar打开此图

在analyse下的file format就可以看到如下图所示信息

flag{stego_is_s0_bor1ing}

题目 4 被窃取的文件

追踪tcp流

说明flag.far被窃取

用foremost分离得到压缩包，压缩包中有密码，继续四位数爆破，解压得到flag。

学习心得:

通过本次实验，学习了解密一些图片中隐藏的信息，如何找到被窃取和修改的文件，以及如何解密加密文件。感受颇深，本次小实验耗费精力，可想国家信息安全工作任重而道远。