解压得pacp文件,上wireshark打开
方法一:搜索字符串flag找前半段
按下CTL+F快捷键,按下图设置搜索flag字符串
其实flag已经隐约可见,缺少一部分,选中进去追踪流看看
直接拖动或按上面搜索exif或adobe关键词者
发现前半段flag:
复制出来:f.l.a.g.{.a.e.5.8.d.0.4.0.8.e.2.6.e.8.f.
去点得
flag{ae58d0408e26e8f
注意flag前后的NJS 和adobe关键词,搜索试试,我们试试adobe
方法二:在windwos里安装部署exiftool工具查找前半段flag,怎么部署见下面文章链接:
在windows下部署安装exiftool和使用kali命令全实现最新版
用wireshark把http对象全部导出,400多张图片,使用下面任意一条命令
exiftool *.jpg "| grep flag > a.txt"
exiftool *.jpg | grep flag > a.txt
导出查询结果到a.txt
前半段flag清晰可见。
注意:flag其实就藏在90(1).jpg这张图片里,可以使用下面命令找到
exiftool 90(1).jpg "| grep flag > c.txt"
注意:flag前后的NJS 和adobe关键词,搜索试试,我们试试adobe
发现tcp114流貌似下半段:26a3c0589d23edeec}
合在一起flag{ae58d0408e26e8f26a3c0589d23edeec}
提交成功
题外话:网上看了别人解题步骤
一、把http对象全部导出,400多张图片
再把这些图片拷贝的kaili里,使用exiftool工具,执行以下命令
exiftool *.jpg | grep flag
找到前半段flag
二使用下面过滤规则,查看tcp114流
tcp.stream eq 114
下半段flag,感觉两段都太突兀,逻辑找不到,但是正解。毕竟题目是百里挑一。我的解法虽然有点逻辑,可能是出题BUG吧。