封包分析2 - HackMD

# 封包分析2 ## 題目要求 * 封包分析 2 * 偷偷截到了在網路上傳輸的封包，裡面有個特別的檔案，你有辦法解開嗎? (PS:特別的檔案是不會在蘋果日報上出現的) * p.s. flag 並非 EENS{???} 格式 * pcap2.pcapng ## 解題方式 * 用 wireshark 來開啟題目所給的程式 (pcap2.pcapng) ![](https://i.imgur.com/rTOhrZ5.png) * 在上方工具列點選 find packet * 第一個選 packet bytes * 第二個選 Narrow & Wide * 第三個選 String * 接著就可以輸入我們想要尋找的字串 * 輸入 "key" 尋找後發現對應的封包 ![](https://i.imgur.com/ZR5Y1N6.png) * 找到有可能的字串後 * 對封包按右鍵 * 選擇 Follow * TCP Stream * 即可更詳細的察看內容 ![](https://i.imgur.com/f5YFJ4L.png) * 可以看到我們要尋找的應該是一份 PNG 檔 * 接著從這個封包開始(No.1169)往後用 find packet 來找 "png" * 可以找到在 No.1171 的封包有出現 PNG 的字樣 ![](https://i.imgur.com/T1Qeiv7.png) * 看一下它的內容，發現這個封包內有傳輸 png ![](https://i.imgur.com/OThHWC8.png) * 將內容轉成 Hex Dump 的格式，接著找到 PNG，將圖檔的 Hex 碼複製下來 * 參考 [利用PNG文件格式隱藏Payload](https://bit.ly/2VksYA8) * 從 PNG 檔的開頭 ( 89 50 4e 47 0d 0a 1a 0a) * ![](https://i.imgur.com/WxiYYF5.png) * 複製到 PNG 檔的結尾 (00 00 00 00 49 45 4E 44 AE 42 60 82) * ![](https://i.imgur.com/86alLB9.png) * 將複製的 Hex 碼貼到 Sublime Text 上 ![](https://i.imgur.com/yLsXqie.png) * 利用 Sublime Text 中，中鍵可以選擇一整列的功能來把前後的文字去掉，只留下 Hex 碼 ![](https://i.imgur.com/73Tk8cL.png) * 去乾淨後運用網站 [Hex to file](https://bit.ly/2DS4rb7) 將他轉成 PNG 檔 ![](https://i.imgur.com/27ngGeT.png) * 將載下來的 PNG 打開即可得到答案 ![](https://i.imgur.com/JGNj48j.jpg)