bugku——抓住一只苍蝇

今天做了bugku的这道题，这才是九曲山路十八弯啊，自己解崩溃了，看了大佬的题解才做出来。

这里记录一下。

下载下来pcang文件使用wireshark打开

在分组字节流中搜索一下flag{没什么东西，在搜一下flag. 发现了flag.txt

 文件->导出对象->HTTP->save all

保存了很多文件也没有什么有用的信息

回来wireshark，分析内容可知这在使用qq邮箱传文件，使用包过滤语句http.request.method==POST

看到192.168.1.101向59.37.116.102发送了5个连续的文件包（按时间排序）

从刚才的文件里面挑出这5个文件，按顺序命名为1-5

由于是好几个文件，需要将其合并成一个文件，这里就需要去掉相同的文件头(TCP包有文件头的，具体百度。。)

 

分组字节流中查找size 可以看到文件大小是525701

而5个数据包media type 的大小是131436*4 和最后一个1777

所以文件头的大小就是

131436*4+1777=527571-525701=1820/5=364需要每个文件去掉其364字节的文件头。

 

导出五个文件

wireshark->文件->导出对象->http->选择save对象

 顺序改名

 

kali  linux shell命令dd

命令格式为 dd if=文件名  bs=1 skip=364 of=要保存的文件名。例如dd if=1 bs=1 skip=364 of=1.1

依次把五个文件去掉文件头保存到另一文件

 

dd命令详解

然后把11-55扔到windows中

使用windows下cmd命令（powershell 都不行！）

  copy /B 文件1+文件2+... fly.rar

然后，解压文件fly.rar  报错还加密！！！

查看一下加密位是伪加密（具体百度。。。）

将74 84 中4改为0就可以了。

解压缩得到flag.txt 打开，乱码，

win32！！于是修改文件后缀名为exe，

打开以后居然是苍蝇满屏幕爬来爬去！！！

再看看flag.rar的w注意16进制编辑器wxMedit中的内容，搜索到了png字符，所以肯定还有东西，

于是扔到kali中使用foremost提取出该文件

在提取出的文件中有个PNG文件夹

终于找到了，扫码可以得到flag

扫码网站 https://online-barcode-reader.inliteresearch.com/

flag{m1Sc_oxO2_Fly}