到处都是知识盲区hhh
下载了out.pcap之后,里面有很多ICMP包
看到ttl之后联想到西湖论剑里面的一道杂项题,无果
看WP知道可以使用wireshark的tshark命令提取流量包里面的文件,原因在于
$$START$$ END CERTIFICATE
这些都在提示我们流量包里面传输了一个文件,从开始到结束
wireshark跨平台,在windows和linux上面都可以很好使用,我直接在命令行里面输出data文件了。
tshark的命令参数参考:
https://www.cnblogs.com/liun1994/p/6142505.html我们采用这个命令
tshark -r out.pcap -T fields -e data > out.txt-r 读取本地文件,也就是我们下载的pcap包
-T 设置解码结果输出的格式
-e 当-T字段指定时,设置输出哪些字段
打开得到的out.txt文件看看
看起来好像是十六进制,我们使用python脚本转换一波
lines=open('out.txt','rb').readlines()
file=open('old_file.txt','wb')
for line in lines:
file.write(line.strip().decode('hex'))
file.close()
打开得到的old_file.txt文件
可以看出来有重复冗余字段,也就是每四行都是重复的。
于是再写一个去冗余的脚本
a=open('old_file.txt')
f=open('old2_file.txt','w')
i=0;
result=''
while i!=72156:
result=a.readline()
if i%4==0:
f.write(result)
i+=1
result=''
f.close()现在打开old2_file.txt文件
可以看出来已经去除了冗余部分,不过第一行和最后一行是多余的,同时每一行开始的九个字符也是多余的,剩下的组合起来看上去就像是BASE64编码,于是再写脚本去除这些多余的东西,同时base64解码
import base64
lines=open('old2_file.txt','rb').readlines()
file=open('new_file','wb')
result=''
for line in lines[1:-1]:
result+=line[9:].strip()
file.write(base64.b64decode(result))得到的new_file文件头是PK
很自然的将其后缀名改为.zip
压缩包里面有一张帧数很奇怪的蜘蛛侠gif
在看的时候就感觉一卡一卡的。
使用linux的 identity 命令查看一下
大部分都是20 和 50,将其视作二进制编码 ,20 为0,50为1,binary转hex转ascii码
最后得到字符串mD5_1t
我们将这个字符串进行MD5加密之后即是flag