目录
审题

解题
下载附件后得到一个.pcapng文件。
先上kali,使用foremost命令分离文件:
(1)foremost命令安装:
sudo apt-get update
sudo apt-get install foremost

(2)将文件拖入kali中,重命名后使用foremost分离文件,得到一个output文件夹:

output->zip,发现有个压缩软件,里面有文件flag.txt,但解压需要密码

很明显解压密码需要我们在.pcapng文件中找;
使用wireshark打开.pcapng文件,按下图所示查找flag.txt

右键点击被选中项(序号1150),追踪流->TCP流,等待追踪完成
经排查后发现流中含有jpg文件的文件头:FFD8FF,jpg文件以FFD9结束,经搜索发现该流中有多个FFD9,我们需以最后一个FFD9为准,将从FFD8FF到最后一个FFD9的内容复制到.txt文件中(建议先全选整个流粘贴,然后去除首尾冗余部分);再将文件内容复制到winhex中(编辑->剪贴板数据->粘贴至新文件),以ASCII Hex形式粘贴,最后以.jpg格式保存该文件:


图片上是解压密码,解压后得到flag.txt文件,文件中得到flag为
flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}
考查知识点
foremost命令的使用
wireshark工具的使用
winhex工具的使用
参考链接:攻防世界 misc 功夫再高也怕菜刀(全网最完整版)_Kni9hT's Blog-CSDN博客_功夫再高也怕菜刀
1403

被折叠的 条评论
为什么被折叠?



