BUUCTF:https://buuoj.cn/challenges
题目描述:
流量分析,你能找到flag吗 注意:得到的 flag 请包上 flag{} 提交
密文:
下载附件,解压得到一个.pcapng文件。
解题思路:
1、双击文件,打开wireshark。根据题目提示,我们过滤出POST数据包。(菜刀一般使用POST上传)
http.request.method==POST
简单看了几个数据包之后,发现有个数据包不太正常。
追踪流看一下,发现和前面几个数据包不同,有很长一串16进制字符串。
2、找到z1后面的字符串,通过Base64编码转换为明文信息,猜测z2对应的这串16进制字符串是一张jpg文件的数据。
通过z2的文件头“FF D8”和文件结尾“FF D9”也可以确定这是一张jpg图片。
JPEG (jpg) 文件头:FF D8 FF 文件尾:FF D9
新建一个txt文件,将z2的16进制数据复制到txt文本中,保存。在010 Editor中,使用“文件”选项卡的“导入16进制文件”选项,导入刚才新建的txt文件。
保存为.jpg文件,打开图片,得到一个字符串,但不是flag。(提示我们这是密码)
Th1s_1s_p4sswd_!!!
3、回Wireshark接着看之前的数据包,在下面找到一个zip压缩包,又在倒数第二个数据包的追踪流中,找到pk标识,确认该pcapng文件内有一个zip压缩包。(wireshark 截取的流量中,会截取文件传输对应的流量,也就是说,这个pcapng文件将包括 zip压缩包)
使用Kali中的foremost工具,将zip压缩包从pcapng文件中提取出来。
尝试解压压缩包,需要密码,想起来之前拿到的密码,使用密码解压,得到flag.txt文件。打开拿到flag。
flag:
flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}
