1.做题
题目为Dest0g3 520迎新赛 StrangeTraffic,数据分析题
下载附件得到一个含1088分组的流量包:
通过统计-协议分级可看出,Modbus/TCP协议的流量占比最多,追踪TCP流得到一个文件:
观察字符串的变化规律发现,蓝线之前是从点和空格变化到字符串"ABCDEFGHIJ",从画蓝线行开始后边从第一个字母A依次变化到最后一个字母:
第一轮变化结束,得到字符串"RGVzdDBnM3",下一轮从R开始变化......
直至变化到第一个字母变回A后结束,得到字符串:
python
ABCDEFGHIJRGVzdDBnM3szMUE1QkVBNi1GMjBELUYxOEEtRThFQS0yOUI0RjI1NzEwOEJ9ABCDEFGHIJ观察字符串发现前后都有"ABCDEFGHIJ",提取字符串单独分析,但中间的字符串看不出明显意义,推测为某种编码。中间字符串总长度为60,都为可打印字符串,使用CaptEncoder尝试Base64解码,得到:
2.知识点
- 找规律题如何观察,找出变化规律,提取变化稳定的字符串。
- base64编码特性,将三个字节任意字符使用四个字节的可打印字符"a-z,A-Z,0-9,+,/"表示,同时长度不足部分使用"="补足。