flag_universe---攻防世界

题目描述：

 

 

（1）下载附件，zip格式，解压得到pcap文件

 

 

（2）放进wireshark寻找信息

     存在FTP协议，搜索flag发现存在flag.txt

 

 

 

 

追踪TCP流，存在PNG和flag.txt，并在某流中发现一串编码

 

 

经过base64解码后发现是假的flag

 

 

 

 

 

（3）再尝试使用binwalk 和foremost 分析

 

但不能分离出对应的图片

 

（4）经过数据包分析，3、4、6、11、13、14处发现png图片的数据流但发现4和11处的数据不完整，缺少png尾部其余用winhex进行处理成png图片

winhex下载链接

 https://mega.nz/file/KxxzlRjK#0VeNDh7-WxPpBs9syPVQOqvONFh3jJjwIK9bVjYXemk

 　　1）将wireshark中对应的流以raw格式复制

 

 

　　2）打开winhex，从剪贴板粘贴为ASCII hex格式 

 

　　3)保存为png格式

 

 

 

（5）使用Zsteg查看

zsteg linux下安装可参考： 
 https://www.cnblogs.com/pcat/p/12624953.html

 

对应流14的图片

 

 

 

 

注：这里网上也有使用networkminer来进行数据提取分析，但我尝试过没有出现相应的文件，有兴趣可自行尝试。