buuoj-misc-数据包中的线索

合集 - buuctf-misc(13)

1.buuctf-misc-LSB2024-04-052.buuctf-misc-wireshark2024-04-053.buuctf-misc-[BJDCTF2020]认真你就输了2024-04-054.buuctf-misc-被劫持的神秘礼物2024-04-05

5.buuoj-misc-数据包中的线索2024-04-05

6.buuctf-misc-被嗅探的流量2024-04-057.buuctf-misc-[GXYCTF2019]佛系青年2024-04-058.buuctf-misc-被偷走的文件2024-04-059.buuctf-misc-[BJDCTF2020]藏藏藏2024-04-0510.buuctf-misc-荷兰宽带数据泄露2024-04-0611.buuctf-misc-九连环2024-04-0612.buuctf-misc-snake2024-04-0613.buuctf-misc-刷新过的图片2024-04-07

收起

流量分析题
下载附件，解压，发现是一个.pcapng文件
用wireshark打开

先追踪最大的流量包

发现中间有一大串信息，只包含大小写英文字母，数字，‘/’和‘+’，最后还有个‘=’，极有可能是base64编码后的数据
我们将1513c后面的这段信息保存到‘data’文件中，写个脚本还原

import base64

with open('flag','wb') as f:
    with open('data','rb') as d:
        data = d.read()
        f.write(base64.b64decode(data))

运行一下，得到flag文件，尝试以文本形式打开，发现文本形式为乱码
使用010editor查看文件头，或者直接猜测，大概率为png，jpg，zip，rar，wav，mp3等文件
当更名为flag.png时可正常打开，出现flag

得到flag{209acebf6324a09671abc31c869de72c}