强网杯2023 谍影重重2.0 wp
题目描述
小明是某间谍组织的一员,他终日监听着我国某重点军事基地的飞行动态,妄图通过分析参数找到我国飞的最快的飞机。我国费尽千辛万苦抓住了他,并在他的电脑上找到了一段他监听的信息,请分析出这段信息中飞的最快的飞机。
格式为flag{md5(ICAO CODE of the fastest plane)}附件内所涉及的信息均为公开信息,题目描述也均为虚构,切勿当真
1.首先我们使用tshark - r 文件名打印流量信息
发现都是tcp协议的流量
2.然后我们用tshark导出流量
命令:tshark -r '/home/kali/桌面/attach.pcapng' -Y "tcp" -T fields -e tcp.segment_data > tcp.txt
tshark -r [流量包文件] -Y "tcp" -T fields -e tcp.segment_data > [导出的文件名]
3.分析该流量
结合题干中的“飞得最快的飞机”,发现ADS-B流量最符合题目描述
然后去GitHub上搜索一波,发现了pyModeS库可以解析ADS-B流量
导出的tcp流量都含有相同的头,我们尝试将相同的头去掉,再用pyModeS进行解析
import pyModeS
with open(r"D:\qq文件\qwb2023\qwb2023\misc\谍影重重2.0\tcp.txt",'r')as f:
lines = f.readlines()
for i in lines:
print(len(i))
print(pyModeS.decoder.tell(i[18:]))
发现只有i长度为47时才有正确的信息输出,于是我们增加限制条件,将len(i)==47的输出
import pyModeS
with open(r"D:\qq文件\qwb2023\qwb2023\misc\谍影重重2.0\tcp.txt",'r')as f:
lines = f.readlines()
for i in lines:
if len(i)==47:
print(pyModeS.decoder.tell(i[18:]))
然后筛选解码信息中的Speed
with open(r"D:\qq文件\qwb2023\qwb2023\misc\谍影重重2.0\message.txt",'r',encoding='utf-8', errors='ignore') as file:
for line_number, line in enumerate(file, 1):
if 'Speed' in line:
print( line.strip())
得到:
Speed: 163 knots
Speed: 160 knots
Speed: 159 knots
Speed: 156 knots
Speed: 156 knots
Speed: 154 knots
Speed: 154 knots
Speed: 150 knots
Speed: 150 knots
Speed: 160 knots
Speed: 160 knots
Speed: 153 knots
Speed: 152 knots
Speed: 152 knots
Speed: 152 knots
Speed: 151 knots
Speed: 151 knots
Speed: 151 knots
Speed: 151 knots
Speed: 150 knots
Speed: 150 knots
Speed: 150 knots
Speed: 150 knots
Speed: 150 knots
Speed: 149 knots
Speed: 149 knots
Speed: 149 knots
Speed: 149 knots
Speed: 148 knots
Speed: 148 knots
Speed: 148 knots
Speed: 148 knots
Speed: 148 knots
Speed: 147 knots
Speed: 145 knots
Speed: 145 knots
Speed: 144 knots
Speed: 143 knots
Speed: 143 knots
Speed: 142 knots
Speed: 371 knots
371是最快的飞机
再把ICAO address MD5一下就得到了flag,后来发现这个并不对,要把ICAO address先大写再MD5后得到:flag{4cf6729b9bc05686a79c1620b0b1967b}
