DDCTF2019 MISC Wireshark

提示:简单的流量分析。流量包下载:https://pan.baidu.com/s/18Cm8jPePEmIMVQp87O7BhQ (百度网盘提取码:wbb0)。

本人不是很擅长MISC,还要多多感谢师傅们的指点。

用wireshark打开数据包文件,筛选出 HTTP 行为进行分析。

数据包追踪的方法:右击你要追踪的数据包 -> follow -> 选择协议流 。 然后wireshark就会将分析好的数据包流以易读的方式显示出来。

发现了 http://tools.jb51.net/aideddesign/img_add_info ,进去查看,发现是在线图片添加/解密隐藏信息(隐写术)工具的站点,所以猜测需要用图片来解密。

利用wireshark的导出http实例功能,查看可能是图片的实例,一般图片比较大,所以不难判断。

导出协议实例的方法: 点击file -> Export Objects -> 选择协议种类 。 然后wireshark就会将流中的所有数据导出,但是如果是wireshark不能识别的数据的话,那么导出的数据中会有相应的 网络协议头,需要我们自己去掉。

把图片全部dump下面之后,总共三张图片,一张是钥匙,两张是一样的风景图。

钥匙的图明显下面比较低,猜测其高度被修改过,增加其高度,则能显示出key。

之后再用得到的key,去解那两张风景图,即可得到flag。

#! /usr/bin/python3
# -*- coding: utf-8 -*-

import base64
import binascii
s = b'44444354467B5145576F6B63704865556F32574F6642494E37706F6749577346303469526A747D'

print(binascii.a2b_hex(s))

运行实例

ex@Ex:~/test$ ./main.py 
b'DDCTF{QEWokcpHeUo2WOfBIN7pogIWsF04iRjt}'

说点什么

avatar
  Subscribe  
提醒