流量分析ICMP协议考点:
flag1
用tshark分析ICMP协议的数据后 ,发现没有收获,可以观察每个数据的长度
每个数据的长度会隐藏信息
前两个数据包的长度是Zm,跟flag的base64编码=Zmxh有相同部分,思路就有了
提出数据长度
发现有相同的数据(英文一个ICMP协议的request和relay的数据长度相同),利用请求标准type过滤所有ICMP协议的其中的relay,只保留request
让ICMP type==8过滤请求包
让ICMP type==0过滤相应包
之后在用tshark提取所有数据-Y ICMP.type==0并将提取的数据交给cyperchef就可以得到一半flag
当用协议分级发现流量包中出现DNS协议时,DNS一般不出现在流量包中,若出现了则有隐藏内容
讲name那一层应用为列
用tshark提出name列
发现有很多脏数据利用Linux虚拟机,下面照片上切换目录的操作再用Linux提取
提取我们需要的内容dnslog.cn
以.为分界提取出前面的数字部分
讲分离出来的数字进行二进制转照片(Python脚本等方法)
发现只能提取类似二维码的部分照片(标准二维码数据基本为正方形)
通过name length=65分离出相应包和请求包
再根据flags后面的内容0x0100和0x8182分离相应包和请求包
再用tshark提取出来
二进制转照片但是二维码还是不正确
继续,将重复的请求过滤出来
相同方法把数据提出来二进制转换成图片即可得到二维码,扫描后得到flag2
flag3为http协议,在http协议里面搜索}的base64编码就可以找到隐藏的ipg照片,base64转码就可以得到flag3
