攻防世界 - Misc - Level 6 | Wireshark

🌟 关注这个靶场的其它相关笔记:CTF 靶场笔记 ------ 攻防世界(XCTF)· 过关思路合集

0x01:考点速览

本题考察的是流量分析与图片隐写,面对复杂的流量包不要怕,先搜索关键词,搜索不到可以去定位 HTTP 流量(这个是最常见,也是最好分析的流量),然后尝试从中分离出一些文件,再做进一步的分析。

想要通过本关,你需要掌握以下技术:

  • 能从 WireShark 中导出 HTTP 对象文件。

  • 可以通过 010 Editor 分辨出文件类型。(PNG 的定位标识:89 50 4E 47)

  • 了解图片隐写(修改图片长宽要会恢复,建议使用 CTF 编码工具直接梭哈)

0x02:Write UP

将附件从靶场上下载下来,是一个 pcapng 文件,我们使用 WireShark 打开。搜索 flag 会得到一些奇奇怪怪的东西,都不是我们想要的:

都是一些奇奇怪怪的协议,直接搜索也搜不出啥,所以我们可以通过过滤器筛选出 HTTP 协议:

如上,简单看一下可以发现 HTTP 协议中东西还是不少的。我们可以直接采用分组字节流的方式将 HTTP 的内容导出来:

最终导出的内容如下,下面就是拿 010 Editor 一个个分析文件类型了:

那些 1KB 大小的文件打开内容都没有啥,首先看 %5c(1) 这个文件,打开后其实能看出来这是一个 POST 型的提交请求,也就是说,里面肯定是包含了文件的,如果搜索,可以定位到 PNG 类型的文件头部:

然后我们手动还原回 PNG 文件后,它长这样,按下不表:

继续向下分析,接下来我们分析 %5c(4) 这个文件,流程和上面那个文件一样,同样可以定位到 PNG 标识,我们也是采用相同的手法将其还原回 PNG 图片,还原后长这样:

如果你细心观察,可以发现这个图片与下面那个 fd2f6f3479d1741es.png 长的一样,但是大小不一样。很明显,上面那个图片藏了东西(使用分离是无法分离出来的):

接下来继续分析,后面几个文件都是网页,而且大部分还是打不开的,唯一能打开的是一个 img_add_info 的网页,打开后长这样(跳转到第三方站点了):

此时回顾一下之前抓包分析出来的内容,再结合上 img_add_info 这个网页是不是能想到啥。用户通过这个工具站点的一个叫作 img_add_info 的功能,给一张图片添加了内容后下载了下来。

所以我们接下来,就是去找 img_add_info 这个功能的解密程序,查看网页源码,然后搜索关键词 img_add_info 即可定位工具:

访问工具后可以发现,它还需要一个解密密码:

那么这个密码从哪里来呢,记得我们一开始提取出来的一个钥匙图片吗,丢到 CTF 编码工具里即可显示密码(那张图片宽高被修改过):

然后我们上传那个 1648 KB 的景色图片并利用上面解密获得的 Key 即可拿到图片中隐藏的信息:

解密出了一串密码,直接丢到 CTF 编码工具中梭哈即可拿到 Flag:

相关推荐
2501_924064118 分钟前
2025年跨端云真机测试平台深度测评:XR与折叠屏时代的兼容性之战
测试工具·移动端自动化测试·自动化测试脚本
zyx没烦恼35 分钟前
TCP相关实验
服务器·网络·tcp/ip
Small black human9 小时前
HTTP-Postman的安装及其使用
测试工具·postman
(:满天星:)10 小时前
第31篇:块设备与字符设备管理深度解析(基于OpenEuler 24.03)
linux·运维·服务器·网络·centos
野蛮人6号11 小时前
虚拟机网络编译器还原默认设置后VMnet8和VMnet1消失了
网络·vmware·虚拟机网络编译器·vmnet8消失
scuter_yu12 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司12 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
面朝大海,春不暖,花不开13 小时前
Java网络编程:TCP/UDP套接字通信详解
java·网络·tcp/ip
AIZHINAN13 小时前
Appium 简介
自动化测试·测试工具·appium
ChicagoTypewriter13 小时前
计算机网络中的常用表项梳理
网络·计算机网络·智能路由器