攻防世界——Misc系列

一、功夫再高也怕菜刀

一开始只有一个看不懂后缀的文件6666.pcapng，日常binwalk一下，发现里面有一个zip压缩包

然后用foremost分离压缩包发现里面flag.txt，但是被加密了

foremost下载链接：https://github.com/raddyfiy/foremost

foremost使用方法：把要操作文件放在与foremost.exe同一目录下，然后在此目录下用cmd命令：foremost 要分离的文件

这时我们还需要一个软件wireshark

wireshark下载地址：https://www.wireshark.org/download.html

然后用wireshark打开6666.pacpng，分组字节流搜索flag.txt，具体操作如下：

先点一下那个放大镜的图标，然后把显示过滤器改为字符串，在后面的框中写flag.txt，再然后把分组列表改为分组字节流，最后点击查询。

搜索flag.txt时发现6666.jpg，然后点上面工具栏的分析/追踪流/TCP流，之后搜索FFD8（jpg文件头），FFD9（jpg文件尾），然后把之间的代码复制下来放到winhex里保存为jpg文件。

注意：搜索FFD8和FFD9时有好几个FFD8和FFD9，但只有最开始的FFD8和最后的FFD9才是真的格式，其他的FFD8和FFD9放到winhex里就凑不成一个字节了。

打开6666.jpg，压缩包的密码就在其中

最后打开flag.txt就拿到flagl了

二、stegano

做这题需要用到火狐的一个开发者工具pdf.js（火狐自带，不用下载），用火狐打开stegano50.pdf，然后在控制台输入命令：document.documentElement.textContent

这里我们需要先点一下上图的那个小三角，不然里面的内容展不开。

之后获得以下界面

把里面的AB…这一串字符复制粘贴到记事本里，然后把A替换成( . )，把B替换成( - )，最后解摩斯密码。

注意：有的网站会把摩斯密码解成小写字母，但摩斯密码对应表中只有大写字母。