XCTF新手题MISC第12题

题干：菜狗决定用菜刀和菜鸡决一死战

（在这道题上因为工具使用不熟练的问题浪费了很多时间，最后参考了wp。。。）

附件下载下来是个pcapng格式的文件，是wireshark的流量包。用wireshark打开，查找flag，这里要选择‘分组字节流’和‘字符串’（wireshark主界面的三块区域分别代表分组列表、分组详情、分组字节流，这里要在字节流中查找），定位结果中可以看到有个6666.jpg，flag.txt，hello.zip。

（这里不明白，字节流中有多处包含flag字段，查找flag时第一个定位点只有php、txt、zip三个文件，包含jpg的定位点在比较靠后的位置，为什么就知道这个jpg里包含关键信息呢？）

在找到的6666.jpg文件上，右键》追踪流》TCP流，可以看到详细信息，根据jpg文件的头尾格式（头是FFD8，尾是FFD9）选取数据块，复制下来。

（这里犯了个错误，数据块中多处含有FFD9，需要一直截取到最后一个，否者得到的jpg不全）

用winhex新建文件打开，然后另存为jpg文件，可以看到图片中有个密码。

（这里由于对winhex使用不熟练浪费了很多时间。在粘贴时，16进制数据总是粘到右侧的ascii码区域，粘不到中间的16进制区域块，网上查得编辑》剪贴板数据》粘贴时，选择ASCII hex，照做之后还是不行。最后知道了复制的数据块中，总的字符数必须是偶数位，所以在FFD9后面多复制了个0，凑了一位才成功）

然后需要把hello.zip分离出来。用binwalk -e分离出压缩包，解压时提示需输入密码，输入图片中的密码就能看到flag.txt，里面有flag。

flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}

（这里又遇到问题，一开始用foremost分离文件，分离得到的是个名为zip的空文件夹，并没有压缩包，不知道哪里出了问题。然后还有一种方法，直接把pcapng文件后缀改成zip，用360压缩解压就行了，不得不说360压缩的纠错功能很强大。360压缩也有不适用的地方，例如有一个jpg文件头被修改的隐藏图片，用WinRAR解压会报错，提示有xxx.jpg文件损坏，会比较容易发现问题，但是360解压不会报错，会直接将这个jpg文件忽略）

（这是XCTF杂项的最后一题，12道新手题在百度老师的帮助下做完了，但一直没有抓到要领，感觉杂项题不像web题思路那么清晰，即使看了wp也不明白为什么要这么做，不知道为什么就是在这个文件中寻找隐藏信息而不是其他的。不知道是不是经验问题。。。）