一道有趣的网络取证分析CTF题目

作者: 分类: CTF 评论: 1条 时间: 2017-02-28 浏览: 3,832 次

0x01 解题

这是一道新颖的网络取证分析的题目,用TCP协议紧急数据来隐藏发送flag,很多选手都被其中的图片带偏了方向,导致花了很多时间也没有做出来,其实刚开始我也被带入坑:-(

下载题目使用Wireshark打开分析,整个过程为客服端请求http://secrets.ctf/message.png,然后与服务端进行TCP的三次握手建立连接,之后便开始分段传输数据,直到message.png传输完成释放连接。

1.png

2.png

然后我们就会毫不犹豫把message.png导出便开始分析,我就是这样被带入坑,然而分析N久,没有什么收获,然后开始怀疑是不是流量包还藏着其他信息没有get到,于是便开始仔细分析包,发现了些有趣的东西:

3.png

从服务端向客服端发送message.png的分段数据开始到89号帧,每个TCP报文段控制位除了ACK(Acknowledgment)置1(表示确认号字段有效),URG(Urgent)位也都被置1(表示紧急指针字段有效,表明此报文段又紧急数据)

4.png

在上图可以看到紧急指针指向紧急数据的位置,其字段值为67(十进制格式),转换ASCII值为'C',一直到第89号帧都有紧急数据,分析提取便得到了flag:CTF{And_You_Thought_It_Was_In_The_Picture},嗨呀,好气,正如flag所说:-(

转载请注明来自sunnyelf博客的一道有趣的网络取证分析CTF题目,否则保留追究文章版权的权利!

订阅本站(RSS)

仅有 1 条评论

  1. hans
    hans

    有意思,可惜没法复盘了。这个pcap文件您还保存在硬盘上?厚着脸皮求一份。

    时间: 2017-01-01 at 13:16 回复

添加新评论