⭕、知识点
1、ICMP报文协议
2、对ascii码的敏感性
一、题目
一个pcapng
二、解题
1、 搜索纯文本关键词无果
2、查看协议分级
没有HTTP,FTP,而且TCP都是TLS加密的,观察到还有少量ICMP流量,这是最有可能藏数据的地方了,因为icmp的填充数据是可以自定义的
3、过滤icmp
观察到两点,所有的icmp填充内容都是heiheihei aaaa...,但是长度不一样,思路这不就来了。但是要注意每次发送ICMP都会有应答包,注意把应答包过滤掉,然后着重分析length
4、过滤应答包并提取长度
对比ascii码表,发现有不少长度超过127,如果直接转换将是不可打印字符。
应该是长度和实际的码值有偏移关系,假设第一个字符是f,那么偏移量就是-42
5、对所有长度偏移-42后转为ascii字符,得到flag
三、答案
flag{1CmPG@M3}
四、总结
算是刷到一种新题型,但是思路挺好找的,不难,可是难度却是8??
