题目说明

题目来源: 工业信息安全技能大赛个人线上赛

题目描述: 工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。flag形式为 flag{}

解题过程

下载附件

下载附件,得到了一个pcap流量包,我们放到wireshark中进行分析。

解题方法1

搜索flag,得到了一个长度为10120的TCP流量包。

在这个流量包中,选择Trailer,右键,显示分组字节流。

找到了下面的内容

看样子应该是个图片,base64的图片。

新建一个txt,将此处的内容删去,只保留iVBxxxxxx的内容。

1
2
3
4
5
6
7
8
9
10
11
12
import base64

# 读入base64文件
with open("b64.txt", "r") as f:
    base64_data = f.read()

# 对字符串进行解码
img_data = base64.b64decode(base64_data)

# 将解码后的二进制数据写入文件
with open("image.png", "wb") as f:
    f.write(img_data)

执行脚本,得到image.png,得到flag

1
flag{ICS-mms104}

解题方法2

1
2
3
4
grep "flag" -a test.pacp
grep ".zip" -a test.pacp
grep ".jpg" -a test.pacp
grep ".png" -a test.pacp

上面是官方wp给出的说法,执行结果如下:

这里的文本是包含data的,同理也可以通过上述方法转换为图片,也可以得到flag。