

恶臭的数据包

题目

野兽前辈想玩游戏，但是hacker妨碍了他连上无线网，前辈发出了无奈的吼声。

解压得到一个cap流量包，Wireshark打开看看统计信息：

恶臭的数据包_1.png

一个无线流量包，信息都被加密了。来看看有没有握手包：

恶臭的数据包_2.png

这个时候可以来尝试爆破了。Kali Linux，启动：

1	aircrack-ng -w ./rockyou.txt ./cacosmia.cap

还是那个经典的字典。

恶臭的数据包_3.png

很快就爆出来了，无线密码是12345678。这个时候可以来解密了：

恶臭的数据包_4.png

Protocols -> IEEE 802.11 -> Decryption keys直达：

恶臭的数据包_5.png

恶臭的数据包_6.png

保存退出，此时应该能看到已经解密了。开始追踪流，先过滤一下再开始：

恶臭的数据包_7.png

恶臭的数据包_8.png

翻到后面就发现有些上传图片的流量。熟悉的PNG文件头：

恶臭的数据包_9.png

还有让人激动的PK文件头和flag.txt:

恶臭的数据包_10.png

先提取出来再说：

恶臭的数据包_11.png

这样导出有HTTP头部信息，用010 Editor去掉即可得到一个图种，可以继续编辑把图和种压缩包拆开。也可以用binwalk或者foremost之类的工具分离出来。图用Stegsolve看了看似乎没有什么信息，压缩包被加密了：

恶臭的数据包_12.png

不是个伪加密，回到流量包里找线索。发现Cookie有个JWT，尝试解开：

恶臭的数据包_13.png

提示密码是被ping过的一个站点。回到流量包中尝试过滤：

恶臭的数据包_14.png

没有发现。不过ping一个站点通常会先进行DNS解析：

恶臭的数据包_15.png

发现最后一次解析有点可疑，返回了环回地址，如果ping环回的话，确实是会抓不到包的。尝试用26rsfb.dnslog.cn解压：

恶臭的数据包_16.png

1	flag{f14376d0-793e-4e20-9eab-af23f3fdc158}