#
(1)流量包分析(摘自CTF wiki)
CTF 比赛中, 流量包的取证分析是另一项重要的考察方向。
通常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。
PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。
(2)解题步骤
使用Wireshark打开题目中给出的文件,选择追踪TCP流
发现有一个使用base64编码的附件
20161008103416509320.7z
解码后得到一个.7z压缩文件,但是打开需要密码
找到一串可以字符,尝试用其解码,成功。 Fl5266q4PzYXSPdmgzrA
解压后得到一个pdf文件,打开后没有发现EIS{},解题不成功
(3)后续解题猜想
① 此题还有额外信息藏在流量包中,需继续分析;
② 此题采用的是pdf隐写,后续分析pdf文件;
③ pdf文件中,有一个png图片,EIS{}藏在png图片中;
