通过Wireshark分析pcap文件,发现HTTP协议中隐藏的txt文件,利用'contains flag'搜索找到ZIP压缩包。由于无法爆破密码,转而从TCP流中寻找线索,定位到可能含有密码的jpg文件头。使用010Editor以Hex模式编辑并另存为jpg,成功解密出密码。
所用工具
wireshark
010editor
首先
拿到题目发现是pcap文件,wireshark进行流量分析,同过协议分级查看流量分布,发现http协议存在txt文件:
所以,猜测HTTP中含有flag,使用搜索命令http contains flag进行搜索,逐条查看发现最后一条藏有flag:
ascaII pk开头,hex:50 4b 03 04文件头发现存在压缩包,将数据流导出后缀试用zip,得到含flag压缩包,解压flag发现存在密码。
一开始使用爆破工具和密码库进行尝试后发现这辈子是爆不出来了。所以尝试回到流量包中去找,HTTP中查看流发现无信息可以使用了,将搜索命令改为tcp contains flag进行tcp流追踪一共13条逐条解析发现第7条流得信息量最大,而且可能是上传的文件,于是查看文件头百科全书发现FF D8 头为jpg文件不知道是否包含密码。
将FF D8文件头至尾从头到位复制后存入txt文件中,再将txt文件用010editor软件使用hex导入再以jpg得形式另存为桌面打开可以获得密码
摸索了很久才有了这个步骤,新手答题,大佬发现不足请指正!这道题目引申下再加个图片隐写就可以死一堆人了。
扫一扫
211
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
