MISC杂项签到——writeup

这里我们点开链接，下载了一个+_+.pcapng的文件

百度下.pcapng是什么文件，ok，我们知道了这是wireshark的抓包文件，直接用wireshark打开

说实话，我对流量分析完全不会= =，可是既然它是签到题，那想来也不会太难，还是直接上百度——如何分析一个.pcapng文件。ok，学到了几个简单操作，选中一条->右键->追踪流->TCP流,这时候可以看到整个操作了，很明显这是在linux上的一系列操作。ok，那么就跟着操作走呗。

一步步看下来，可以看到其中有个python的脚本文件，那运行这个文件应该就可以得到flag了吧，反正当时我是这么想的。

直接搜在线python编程网站，ok，把脚本扔进去。得到了这个flag is hctf{***************},刚开始我以为flag就是这个= =，提交错误。这个签到题对于我们这种新手有点难啊

既然这个脚本运行出不了结果，接着找呗。看到这句话，secrect(秘密)：祝贺你被骗= =。什么，难道python脚本是幌子，难道我跑偏了？

接着看，又发现了这个，这很熟悉啊，不就是base64加密吗，扔到在线解密网站呗。

可是解密之后完全乱码啊= =，之后我就完全没头绪了，尝试了各种解密方法。。然后又重新分析流量，做了半天无用功。这哪是签到题啊！！！！！

吃饭休息了一会，接着看呗，慢慢的我觉得这个python应该是有用的吧，否则放着干嘛= =，然后查看脚本在讲什么，因为python我学的不久，前面也没细看这些代码。ok，一句一句翻译呗。首先，它构造了两个函数，encrypt（加密），decrypt（解密），貌似前面的flag不就是经过了加密的吗，ok,又有点思路了，看来这个python脚本还是很重要的。我们注意到，脚本最后的两句：把message加密后赋值给example,再把example解密输出。ok，我们只要把前面一长串的base64的代码放到decrypt()后面的参数里，解密输出不就行了吗。

那我们就修改下代码，什么鬼，还报错了= =，这个签到题有毒。看看报错信息，貌似解密错误。这里我又卡了很久。

    没思路啊，先干点别的事再来。接着开干的时候，我才想到flag加密后是不是又经过了base64加密= =很有可能啊。那就先用base64解密，再丢进脚本解密啊。然后。。。flag就出来了= =卧槽啊，一道签到题用了我一天时间，还是要努力啊！！！