zoukankan      html  css  js  c++  java
  • hnctf安恒--蜘蛛侠呀

    这题不会做,赛场被吊打,事后才明白

    首先解压看到是流量包,放在wireshark,过滤http很明显看到no_flag.zip,当时想这是个关键点,然后把时间都浪费在这上了,赛后发现并没有传输数据的包,因此放弃这条路,往下看,有大量cmp,知道ICMP可以用来建立隧道传输文件,这里面应该有传输的东西,看大佬们的博客知道,可以用tshark去分析

    先分析里边的文件是啥

    tshark -r out.pcap -T fields -e data > out.txt

    一段16进制乱码

     

    ⽤脚本将16进制转成字符串的形式

     

    发现每相邻四个都是相同的,因此要去重

    命令:grep -i start out.txt | uniq >> out3.txt

    这是一段base64 因此用脚本来解密

    拿到压缩包⽂件,解压后拿到个flag.gif,这⾥利⽤的是gif的时间轴隐写,每帧间隔的时间是可以隐藏信息的 在linux下执⾏命令,

    identify -format "%s %T " flag.gif

    由于这段文字中就20和50,因此很容易联想到二进制0和1

    换之后即可得到flag

    通过这一题认识到了imcp流量包可以用来建立隧道传输文件

    对tshark有了一些了解应用

  • 相关阅读:
    Android状态栏白底黑字,只需两步轻松搞定
    MyBatis注解
    MyBatis延迟加载和缓存
    MyBatis关联查询
    mybatis智能标签1
    Mybatis智能标签
    增删改查
    初始MyBatis
    第7章:Servlet 基础
    第3章 JSP数据交互(二)
  • 原文地址:https://www.cnblogs.com/ls-pankong/p/8944584.html
Copyright © 2011-2022 走看看