DDCTF2019-WP-wireshark

wireshark

链接：https://pan.baidu.com/s/1HMZ0oO_fFy1RPpVv2rBzJQ 提取码：ru3f

打开pacp包直接过滤HTTP流量（wireshark题的信息多是隐藏在HTTP的url，html或者图片里面），直接过滤
可以看到流量中存在png包，分析整个HTTP流中存在3张图片的下载，并且如上图所示在第一个请求中存在网站请求http://tools.jb51.net/aideddesign/img_add_info，先不管，直接保存HTTP的所有数据包

文件 -> 到处对象 -> HTTP

存在两个大的数据包，查看保存下来的文件

上图是导出的文件中存在的图片，不管，直接对那两个大数据包丢进winhex中删除多余的数据

png图像开头为89 50 4E 47 —— ‰PNG
结束为 49 45 4E 44 ——IEND

删除后修改重命名并修改后缀.png，得到两张图片，一张与之前的风景照一样，另外一张是一把钥匙
丢尽kali里binwalk，但是并不行，仔细查看长宽，png图片高宽出现问题，又拖进winhex修改

02 20修改成03 20，保存退出

解密密码出现，加上之前的网址以及风景图片，将风景图片拖进进行解密，这里有一个坑点，直接导出文件的图片没用，只有winhex修改的图片能进行解密
中间一长串是16进制编码（最后一个是7D，在ascii中为‘}’字符），进行base16解码，https://www.qqxiuzi.cn/bianma/base.php?type=16

Base64：
包含大写字母（A-Z）,小写字母（a-z），数字（0-9）以及+/
Base32：
而Base32中只有大写字母（A-Z）和数字234567
Base16：
而Base16就是16进制，他的范围是数字(0-9)，字母（ABCDEF）

得到flag！