一、分析数据包
1、当我拿到题目之后,发现它的末尾后缀是pcapng,所以一开始就想到使用wireshake进行分析,但由于我做过一道可以直接用winhex得到答案的题目,所有首先没有使用wireshake。
2、首先我使用winhex打开数据包,搜索了一下flag,又看了一下开头结尾,虽然没有得到我想要的答案,但是也得到一些信息,数据包中有压缩包、文本、还需要密码。
二、使用foremost进行分离数据包
1、分离得到一个压缩包,但是打开需要密码,但是分离出来并没有给出密码,使用我们只能回归数据包。
三、使用wireshake分析数据包
wireshake数据流追踪资料
1、由于上传文件都是采用POST方法,因而我们使用过滤规则“http.request.method==POST”进行更精确的过滤,然后使用TCP追踪流。
2、逐条分析数据流,在流七中发现数据
四、进行界面,进制转换图片
1、z1结果
2. 发现z2是大量的十六进制字符,粘贴到hxd中进行编辑发现是一张图片。
3、改掉后缀如下。
4、最后得出结果
flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}