本人不是很擅长MISC，还要多多感谢师傅们的指点。

用wireshark打开数据包文件，筛选出 HTTP 行为进行分析。

数据包追踪的方法：右击你要追踪的数据包 -> follow -> 选择协议流 。 然后wireshark就会将分析好的数据包流以易读的方式显示出来。

发现了 http://tools.jb51.net/aideddesign/img_add_info ，进去查看，发现是在线图片添加/解密隐藏信息(隐写术)工具的站点，所以猜测需要用图片来解密。

利用wireshark的导出http实例功能，查看可能是图片的实例，一般图片比较大，所以不难判断。

导出协议实例的方法： 点击file -> Export Objects -> 选择协议种类 。 然后wireshark就会将流中的所有数据导出，但是如果是wireshark不能识别的数据的话，那么导出的数据中会有相应的 网络协议头，需要我们自己去掉。

把图片全部dump下面之后，总共三张图片，一张是钥匙，两张是一样的风景图。

钥匙的图明显下面比较低，猜测其高度被修改过，增加其高度，则能显示出key。

之后再用得到的key，去解那两张风景图，即可得到flag。

#! /usr/bin/python3
# -*- coding: utf-8 -*-

import base64
import binascii
s = b'44444354467B5145576F6B63704865556F32574F6642494E37706F6749577346303469526A747D'

print(binascii.a2b_hex(s))

运行实例

ex@Ex:~/test$ ./main.py 
b'DDCTF{QEWokcpHeUo2WOfBIN7pogIWsF04iRjt}'