考点:wireshark数据包分析 binwalk和010edator的文件分离
功夫再高也怕菜刀
-
考点:wireshark数据包分析 binwalk和010edator的文件分离
-
下载附件,拖到kali,发现是一个pcapng的wireshark数据包文件
-
拖到wireshark里
-
直接搜索flag
-
定位到很多数据包,挨个查看一下,根据题目提示和数据包的内容,这是个对菜刀进行的流量捕获
-
出题人应该是先 apt-get update做了一堆混淆的数据包,然后用菜刀下了个文件
-
找到1100以后就开始出现偏大的数据包了
-
在1150处有一个包含有flag,对1150进行tcp流追踪
-
从这开始,FFD8
-
到这FFD9
-
分别是jpg的文件头文件尾
-
把这一部分分离出来,放到010edator
-
然后另存为,手动改后缀为jpg即可
-
这里如果不手动改后缀,丢到kali里,用file命令跑是得不到正确结果的
-
改完后,在windows直接双击打开
-
但是这不是flag
-
再到流量包文件,用foremost命令,分离出了一个压缩文档,并且有密码,把这个密码输入打开即可。
-
flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}