一、功夫再高也怕菜刀
一开始只有一个看不懂后缀的文件6666.pcapng,日常binwalk一下,发现里面有一个zip压缩包
然后用foremost分离压缩包发现里面flag.txt,但是被加密了
foremost下载链接:https://github.com/raddyfiy/foremost
foremost使用方法:把要操作文件放在与foremost.exe同一目录下,然后在此目录下用cmd命令:foremost 要分离的文件
这时我们还需要一个软件wireshark
wireshark下载地址:https://www.wireshark.org/download.html
然后用wireshark打开6666.pacpng,分组字节流搜索flag.txt,具体操作如下:
先点一下那个放大镜的图标,然后把显示过滤器改为字符串,在后面的框中写flag.txt,再然后把分组列表改为分组字节流,最后点击查询。
搜索flag.txt时发现6666.jpg,然后点上面工具栏的分析/追踪流/TCP流,之后搜索FFD8(jpg文件头),FFD9(jpg文件尾),然后把之间的代码复制下来放到winhex里保存为jpg文件。
注意:搜索FFD8和FFD9时有好几个FFD8和FFD9,但只有最开始的FFD8和最后的FFD9才是真的格式,其他的FFD8和FFD9放到winhex里就凑不成一个字节了。
打开6666.jpg,压缩包的密码就在其中
最后打开flag.txt就拿到flagl了
二、stegano
做这题需要用到火狐的一个开发者工具pdf.js(火狐自带,不用下载),用火狐打开stegano50.pdf,然后在控制台输入命令:document.documentElement.textContent
这里我们需要先点一下上图的那个小三角,不然里面的内容展不开。
之后获得以下界面
把里面的AB…这一串字符复制粘贴到记事本里,然后把A替换成( . ),把B替换成( - ),最后解摩斯密码。
注意:有的网站会把摩斯密码解成小写字母,但摩斯密码对应表中只有大写字母。
三、ext3
名字太长了,重命名成123
拖到kali里,新建tem文件并挂载
查找flag文件
最后base64解码