下载附件是一个没有后缀的文件,直接扔到010Editor看看
观察了一下发现应该是rar压缩包,去给它加上后缀试试。
加上后缀解压出来的又是一个不知道是什么的文件。
直接丢到010Editor看了看发现是个流量包
既然知道了是个流量包,试着给它加上pcap后缀试试看
BinGo用Wireshark可以打开!
尝试直接搜索flag,能搜到一个flag.rar的线索。
追踪tcp流
在第五个tcp流能找到rar压缩包
怎么把它导出呢?我的做法是:
第一:show data as:选择原始数据
第二:直接另存为一个文件就行
第三:用010Editor打开,把前面多余的内容删掉
再另存为.zip文件就可以了。
但是这个压缩包解压需要密码,然而暂时没有看到其他提示,只能再回到流量包继续分析了
在第六个流里面发现了一串base编码,底部还有一个和AES有关的python脚本,猜测应该是要解密了。
直接使用工具,从脚本可以知道key和偏移都是IV,然后在输入填上面的base编码,模式是CBC即可
解码得到压缩包的解压密码是No_One_Can_Decrypt_Me
解压得到flag
