【XCTF 攻防世界】MISC 杂项 新手练习区 功夫再高也怕菜刀

题目链接： https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=0&id=5108&page=1

下载附件，得到后缀为pcapng的文件，用wireshark打开

由于流量太多，用foremost分离一下看能得到什么

foremost 文件名

得到一个加密的flag.txt

那么我们用wireshark搜索一下flag.txt

Wireshark的搜索功能： https://www.jianshu.com/p/1998545dc5b8

好多个流量包都是这种情况，有6条数据。但是并查看不到什么有用消息

直到找到某一个数据包（1150条记录），发现有一个文件

右键追踪流，选择TCP流

查阅资料发现，jpg格式是以：FFD8FF开头，以FFD9结尾

那么我们把这一段复制出来，用winhex保存为十六进制文件（直接用txt保存改后缀并不可以，会导致文件无法打开），后缀改为jpg

使用密码打开压缩包，得到flag