WP CTF-Misc 攻防世界 CSFJ0155 simple_transfer

「附件」

附件是个pcap文件，数据包捕获格式，用wireshark打开进行分析。

「思路」

wireshark打开pcap文件，搜索字符串flag，有很多包含flag的结果，行不通。
使用 统计-协议分级 功能，查看各协议所占的比重，优先在占比大的协议中寻找flag。

Dynamic Link Exchange Protocol 所占的比重最大，在wireshark中筛选 dlep，再选择 分组字节流，搜索字符串flag。

追踪该数据包的TCP流，在其中发现一个flag.pdf 的字符串。

复制pcap文件到kali系统中，使用binwalk进行分析和分离。
binwalk分析：binwalk 文件名

binwalk分离：binwalk -e --run-as=root 文件名

打开文件夹，在52DFE文件中找到类似flag的字符串

将多余的字符删除，得到flag：HITB{xxxx}

---

回过头看，本题其实可以直接通过 分组字节流搜索flag字符串的方式找到对应数据包。

「工具」

• wireshark 流量分析
• binwalk 文件分析、分离

「知识拓展」

__EOF__

本文作者：stonechen
本文链接：https://www.cnblogs.com/stonechen/p/CSFJ0155.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！