所用工具
wireshark
010editor
首先
拿到题目发现是pcap文件,wireshark进行流量分析,同过协议分级查看流量分布,发现http协议存在txt文件:
所以,猜测HTTP中含有flag,使用搜索命令http contains flag进行搜索,逐条查看发现最后一条藏有flag:
ascaII pk开头,hex:50 4b 03 04文件头发现存在压缩包,将数据流导出后缀试用zip,得到含flag压缩包,解压flag发现存在密码。
一开始使用爆破工具和密码库进行尝试后发现这辈子是爆不出来了。所以尝试回到流量包中去找,HTTP中查看流发现无信息可以使用了,将搜索命令改为tcp contains flag进行tcp流追踪一共13条逐条解析发现第7条流得信息量最大,而且可能是上传的文件,于是查看文件头百科全书发现FF D8 头为jpg文件不知道是否包含密码。
将FF D8文件头至尾从头到位复制后存入txt文件中,再将txt文件用010editor软件使用hex导入再以jpg得形式另存为桌面打开可以获得密码
摸索了很久才有了这个步骤,新手答题,大佬发现不足请指正!这道题目引申下再加个图片隐写就可以死一堆人了。