CTF-misc(功夫再高也怕菜刀)

1.题目给出的附件名为acfff53ce3fa4e2bbe8654284dfc18e1.pcapng

使用binwalk发现流量包里有个Zip压缩包

2.使用dd命令分离文件

if=file：输入文件名，缺省为标准输入
of=file：输出文件名，缺省为标准输出
bs=bytes：同时设置读写块的大小为 bytes ，可代替 ibs 和 obs
skip=blocks：从输入文件开头跳过 blocks 个块后再开始复制

dd if=acfff53ce3fa4e2bbe8654284dfc18e1.pcapng of=flag bs=1 skip=1422689

of=flag，输出文件名为flag，Zip类型压缩包

3.打开flag压缩包，点击flag.txt，发现需要密码

密码应该是来自流量包中的其他部分

4.使用wireshark分析

分组详情，字符串，flag.txt，查找

嚯，没找到什么有用信息，于是，去搜了一下别人写的WP，说是要查找到第1150个包时，追踪流才看到，所以就多点了几次查找，终于让我给找到密码信息了，那就是名为6666.jpg这张图片

5.右键点击，选择追踪流中的TCP流查看6666.jpg

在之前的博客里总结过FF D8是jpg文件的开头，FF D9是jpg文件的结尾，所以图片内容在哪一块就很明显了

jpg文件以FF D9结尾

6.把以FF D8开头、FF D9结尾的这部分复制，并在winhex中新建文件并粘贴，注意粘贴格式选择为ASCII Hex

保存为jpg文件格式得到一张jpg格式的图片

之前分离出来了一个包含flag.txt的压缩包，图片内容就是打开flag.txt的密码，输入密码，拿到flag