标签:identify 图片 orm 分享图片 gre src 放弃 技术分享 没有
这题不会做,赛场被吊打,事后才明白
首先解压看到是流量包,放在wireshark,过滤http很明显看到no_flag.zip,当时想这是个关键点,然后把时间都浪费在这上了,赛后发现并没有传输数据的包,因此放弃这条路,往下看,有大量cmp,知道ICMP可以用来建立隧道传输文件,这里面应该有传输的东西,看大佬们的博客知道,可以用tshark去分析
先分析里边的文件是啥
tshark -r out.pcap -T fields -e data > out.txt
一段16进制乱码
?脚本将16进制转成字符串的形式
发现每相邻四个都是相同的,因此要去重
命令:grep -i start out.txt | uniq >> out3.txt
这是一段base64 因此用脚本来解密
拿到压缩包?件,解压后拿到个flag.gif,这?利?的是gif的时间轴隐写,每帧间隔的时间是可以隐藏信息的 在linux下执?命令,
identify -format "%s %T \n" flag.gif
由于这段文字中就20和50,因此很容易联想到二进制0和1
换之后即可得到flag
通过这一题认识到了imcp流量包可以用来建立隧道传输文件
对tshark有了一些了解应用
标签:identify 图片 orm 分享图片 gre src 放弃 技术分享 没有
原文地址:https://www.cnblogs.com/ls-pankong/p/8944584.html
