1. 進入環境,下載下傳附件
題目給的是一個檔案,我們直接扔進kali中,發現是流量包,如圖:
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiI0gTMx81dsQWZ4lmZf1GLlpXazVmcvwFciV2dsQXYtJ3bm9CX9s2RkBnVHFmb1clWvB3MaVnRtp1XlBXe0xCMy81dvRWYoNHLwEzX5xCMx8FesU2cfdGLwMzX0xiRGZkRGZ0Xy9GbvNGLpZTY1EmMZVDUSFTU4VFRR9Fd4VGdsYTMfVmepNHLrJXYtJXZ0F2dvwVZnFWbp1zczV2YvJHctM3cv1Ce-cmbw5COwYDNyUTOxY2Y0MGM1ITNzYzXyUjN1UTMxIzLcBTMyIDMy8CXn9Gbi9CXzV2Zh1WavwVbvNmLvR3YxUjLyM3Lc9CX6MHc0RHaiojIsJye.png)
使用file指令檢視該檔案類型,發現也是提示是pcapng檔案,如圖:
2. 問題分析
-
提取資料
我們打開檔案,發現很多tcp流,我們追蹤流可以看到,傳輸過程中有很多jpg檔案,如圖:
我們使用wireshark自帶的提取資料功能,導出資料:
選擇save all即可,如圖:
2. 發現二維碼
發現一張奇怪的圖檔,包含二維碼:
使用線上二維碼解析:https://cli.im/deqr/,提取的資料為
U2FsdGVkX1+VpmdLwwhbyNU80MDlK+8t61sewce2qCVztitDMKpQ4fUl5nsAZOI7 bE9uL8lW/KLfbs33aC1XXw==
感覺是像base64編碼,解碼後亂七八糟的。不知道出發點在哪裡,檢視了wp後才發現,該編碼是AES解密,密碼為圖中的CTF,線上工具位址為:http://www.jsons.cn/aesencrypt/,解密後如圖:
密碼為:
668b13e0b0fc0944daf4c223b9831e49
-
找到隐藏檔案
使用binwalk後發現每張圖都有zip隐藏檔案,人麻了,但是唯獨這個圖是wp中的合理圖檔,如圖:
使用foremost進行分離,得到zip壓縮包:
有解壓密碼,使用剛剛的AES解密密碼輸入,得到解壓後的二維碼,如圖:
擱着還是個俄羅斯套娃,拖到最大,掃描最裡面的二維碼: