标签：11 universe winhex --- flag 格式 png 图片

题目描述：

 

 

（1）下载附件，zip格式，解压得到pcap文件

 

 

（2）放进wireshark寻找信息

     存在FTP协议，搜索flag发现存在flag.txt

 

 

 

 

追踪TCP流，存在PNG和flag.txt，并在某流中发现一串编码

 

 

经过base64解码后发现是假的flag

 

 

 

 

 

（3）再尝试使用binwalk 和foremost 分析

 

但不能分离出对应的图片

 

（4）经过数据包分析，3、4、6、11、13、14处发现png图片的数据流但发现4和11处的数据不完整，缺少png尾部其余用winhex进行处理成png图片

winhex下载链接

 https://mega.nz/file/KxxzlRjK#0VeNDh7-WxPpBs9syPVQOqvONFh3jJjwIK9bVjYXemk

 　　1）将wireshark中对应的流以raw格式复制

 

 

　　2）打开winhex，从剪贴板粘贴为ASCII hex格式 

 

　　3)保存为png格式

 

 

 

（5）使用Zsteg查看

zsteg linux下安装可参考： 
 https://www.cnblogs.com/pcat/p/12624953.html

 

对应流14的图片

 

 

 

 

注：这里网上也有使用networkminer来进行数据提取分析，但我尝试过没有出现相应的文件，有兴趣可自行尝试。

标签：11,universe,winhex,---,flag,格式,png,图片
来源： https://www.cnblogs.com/stickonit/p/16098732.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。