解压附件,得到未知格式文件,送kali,file得知为pcapng文件
改后缀,wireshark打开,协议分级,基本都是TCP流量,又以超文本传输协议为主
尝试导出HTTP对象,一共21份jpg文件
都保存下来,先捡最大的分析
打开图片,有一个二维码
扫码得到类似base64加密的字符串
U2FsdGVkX1+VpmdLwwhbyNU80MDlK+8t61sewce2qCVztitDMKpQ4fUl5nsAZOI7bE9uL8lW/KLfbs33aC1XXw==
尝试base64解密未遂
注意到图片下发小字,提示AES,怀疑这是AES加密,解密需要密码,图片还特意标红了CTF三个单词,尝试,成功解密,得到未知含义字符串
010打开图片,看看图片有没有问题,模板能完整跑完,好奇心驱使下,拉到最底下,?jpg传统FF D9去哪了?搜索16进制,找到了一堆,好家伙,赶紧上binwalk
发现一个压缩包,分离出来,解压,得到二维码,扫码得到迷之语句
????这是暗示什么????
找一找其他图片,果然找到一张和描述的差不多的
继续binwalk
也有压缩包,分离出来继续解压,跟上面一样的结果
好吧,挨个分析,都是一样的结果,除了这张↓
描述内容和题目一模一样,怎么早没想到找它
binwalk分析,分离,解压,要密码,尝试之前的未知含义字符串,解压成功
得到一张套娃的二维码
聚焦中间小二维码,扫码得到flag
flag{97d1-0867-2dc1-8926-144c-bc8a-4d4a-3758}