解压附件,得到pcapng文件,wireshark打开,协议以FTP为主,又是熟悉的感觉,搜索flag.txt,居然有东西,png也有
不淡定了,从0 开始追踪TCP流,果真有东西
tcp.stream eq 1里面有传输的文件
tcp.stream eq 6里面有疑似png图片的信息
tcp.stream eq 7里面有base64编码的字符串,解码发现是假的flag
如上所述的内容在后面很多流中都有体现,尝试foremost分离源文件,未果
尝试binwalk,未果
源文件另存为pcap格式,尝试使用NetworkMiner提取流量包中的文件,txt文件为之前的虚假flag,着重对png图片分析
使用zsteg分析两张图片,在名为“new_universe[1].png”的图片中发现flag
要是昨天那题用了NetworkMiner,也会好做很多
总结:
- 对于传输文件的流量包,要是不能导出对象,就要尝试使用foremost、NetworkMiner等工具
- 对于png图片的分析,要记得用zsteg试试,毕竟能提取出可以直接复制粘贴的文本,提交flag或者获取密码之类不易出错
