攻防世界-MISC-Cephalopod
知识点
1.tcpxtract提取pacp流量包中的文件。
2.wireshark手工分离pacp中的png图片。
步骤
方法一:(tcpxtract的使用)
下载附件是一个pcap流量包,用wireshark打开,搜索关键字flag,发现含有flag.png。
用binwalk和foremost都不能分离出来。需要使用tcpxtract分离。
tcpxtract -f 文件名.pacp
提取出两张图片,在其中一张中得到flag。
方法二:(wire手动提取16进制数据)
png文件头:89504E470D0A1A0A png文件尾巴:49454E44AE426082
1.wireshark搜索16进制89504E47,
2.右键追踪tcp流,显示为原始数据再搜索png文件头:89504E47和png文件尾巴:49454E44AE426082,发现都存在,这两者之间就是png文件的16进制。另存为1.png,然后用010打开,删除文件件头和文件尾之外的数据,保存即为带flag的图片。
