今天做了bugku的这道题,这才是九曲山路十八弯啊,自己解崩溃了,看了大佬的题解才做出来。
这里记录一下。
下载下来pcang文件使用wireshark打开
在分组字节流中搜索一下flag{没什么东西,在搜一下flag. 发现了flag.txt
文件->导出对象->HTTP->save all
保存了很多文件也没有什么有用的信息
回来wireshark,分析内容可知这在使用qq邮箱传文件,使用包过滤语句http.request.method==POST
看到192.168.1.101向59.37.116.102发送了5个连续的文件包(按时间排序)
从刚才的文件里面挑出这5个文件,按顺序命名为1-5
由于是好几个文件,需要将其合并成一个文件,这里就需要去掉相同的文件头(TCP包有文件头的,具体百度。。)
分组字节流中查找size 可以看到文件大小是525701
而5个数据包media type 的大小是131436*4 和最后一个1777
所以文件头的大小就是
131436*4+1777=527571-525701=1820/5=364需要每个文件去掉其364字节的文件头。
kali linux shell命令dd
命令格式为 dd if=文件名 bs=1 sktp=364 of=要保存的文件名。例如dd if=1 bs=1 sktp=364 of=1.1
依次把五个文件去掉文件头保存到另一文件
然后把1.1-5.5扔到windows中
使用windows下cmd命令 copy /B 文件1+文件2+... fly.rar
然后,解压文件fly.rar 报错!!!
查看一下加密位是伪加密(具体自己百度。。。)
将74 84 中4改为0就可以了。
解压缩得到flag.txt 打开,乱码,于是修改文件后缀名为exe,
打开以后居然是苍蝇满屏幕爬来爬去!!!
再看看flag.rar的w注意16进制编辑器wxMedit中的内容,搜索到了png字符,所以肯定还有东西,
于是扔到kali中使用foremost提取出该文件
在提取出的文件中有个PNG文件夹
终于找到了,扫码可以得到flag
扫码网站 https://online-barcode-reader.inliteresearch.com/
flag{m1Sc_oxO2_Fly}