版权声明:<--本博客所有内容均为个人在学习工作中的总结、摘录等-- --转载请注明出处-- --如有侵权请联系删除--> https://blog.csdn.net/qq_42196196/article/details/83247018
流量检索:
将数据包加入科来进行分析,当然wireshark也可以,但是科来的数据可视化做的比较好。
找到了一个比较大的数据包,打开看看。。。
数据提取:
搜索关键字flag。。。果然在这里,使用wireshark进行数据的提取,看大小应该就是这几个了
数据重组:
挨个保存,最好编个号,以免重组的时候乱了顺序
一共保存了五个数据包,以上所选是每个包的包头,需要去掉
伪加密:
去掉包头后,dos下copy命令进行数据包重组,通过查看第一个数据包的十六进制码,可以知道这是一个rar文件,所以重组为rar文件,但是打开的时候,需要输入密码,首先想到的--伪加密
将74 84 改为 74 80,直接解压。查看十六进制源数据,发现是exe可执行程序。将扩展名改为exe。。。
好恶心。。。
图片提取:
再次打开源数据,发现最下方有一个png图片,提取出来,是一个二维码,扫码,得到flag
以上文件1,2,3,4,5是tcp流的源数据
11,22,33,44,55是去掉包头的数据
flag.rar是重组后的数据
flag0.rar是破除伪加密的压缩包