攻防世界misc——flag_universe

解压附件,得到pcapng文件,wireshark打开,协议以FTP为主,又是熟悉的感觉,搜索flag.txt,居然有东西,png也有
攻防世界misc——flag_universe_第1张图片攻防世界misc——flag_universe_第2张图片不淡定了,从0 开始追踪TCP流,果真有东西
tcp.stream eq 1里面有传输的文件
攻防世界misc——flag_universe_第3张图片tcp.stream eq 6里面有疑似png图片的信息
攻防世界misc——flag_universe_第4张图片tcp.stream eq 7里面有base64编码的字符串,解码发现是假的flag
攻防世界misc——flag_universe_第5张图片攻防世界misc——flag_universe_第6张图片如上所述的内容在后面很多流中都有体现,尝试foremost分离源文件,未果
攻防世界misc——flag_universe_第7张图片尝试binwalk,未果
攻防世界misc——flag_universe_第8张图片源文件另存为pcap格式,尝试使用NetworkMiner提取流量包中的文件,txt文件为之前的虚假flag,着重对png图片分析
攻防世界misc——flag_universe_第9张图片攻防世界misc——flag_universe_第10张图片使用zsteg分析两张图片,在名为“new_universe[1].png”的图片中发现flag
攻防世界misc——flag_universe_第11张图片要是昨天那题用了NetworkMiner,也会好做很多

总结:

  1. 对于传输文件的流量包,要是不能导出对象,就要尝试使用foremost、NetworkMiner等工具
  2. 对于png图片的分析,要记得用zsteg试试,毕竟能提取出可以直接复制粘贴的文本,提交flag或者获取密码之类不易出错

你可能感兴趣的:(攻防世界WP,网络安全)