Google-CTF-2016-Stego.pcap数据包解析

Google-CTF-2016（a-cute-stegosaurus-100）

前言：别人发的题目 随便看看 记录一下解题过程！

知识点:

在报文段中有 6Bit 的状态控制码， 分别如下tcp

• URG：紧急比特（urgent）， 当 URG=1 时，表明紧急指针字段有效， 代表该封包为紧急封包。它告诉系统此报文段中有紧急数据，应尽快传送 (相当于高优先级的数据)
• ACK：确认比特（Acknowledge）。只有当 ACK=1 时确认号字段才有效， 代表这个封包为确认封包。当 ACK=0时，确认号无效。
• PSH：（Push function）若为 1 时，代表要求对方立即传送缓冲区内的其他对应封包，而无需等缓冲满了才送。
• RST：复位比特 （Reset） ， 当 RST=1 时，表明 TCP 连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。
• SYN：同步比特 （Synchronous），SYN 置为 1，就表示这是一个连接请求或连接接受报文， 通常带有 SYN 标志的封包表示『主动』要连接到对方的意思。
• FIN：终止比特 （Final），用来释放一个连接。当 FIN=1 时，表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。

首先打开数据包筛选一下HTTP协议 里面有张图片（一张剑龙图片，会联想到隐写误导你）

这里的考点是URG通过tshark提取 tcp.urg 然后取出0的字段转 ascii 即可得到 flag

PS :一看是2016年的题目 现在这种题目挺多的 USB 键盘鼠标流量 使用工具提取 然后转码

 tshark -r stego.pcap -T fields -e tcp.urgent_pointer|egrep -vi "^0$"|tr '\n' ','

CTF{And_You_Thought_It_Was_In_The_Picture}