一道有趣的网络取证分析CTF题目
0x01 解题
这是一道新颖的网络取证分析的题目,用TCP协议紧急数据来隐藏发送flag,很多选手都被其中的图片带偏了方向,导致花了很多时间也没有做出来,其实刚开始我也被带入坑:-(
下载题目使用Wireshark打开分析,整个过程为客服端请求http://secrets.ctf/message.png,然后与服务端进行TCP的三次握手建立连接,之后便开始分段传输数据,直到message.png传输完成释放连接。
然后我们就会毫不犹豫把message.png导出便开始分析,我就是这样被带入坑,然而分析N久,没有什么收获,然后开始怀疑是不是流量包还藏着其他信息没有get到,于是便开始仔细分析包,发现了些有趣的东西:
从服务端向客服端发送message.png的分段数据开始到89号帧,每个TCP报文段控制位除了ACK(Acknowledgment)置1(表示确认号字段有效),URG(Urgent)位也都被置1(表示紧急指针字段有效,表明此报文段又紧急数据)
在上图可以看到紧急指针指向紧急数据的位置,其字段值为67(十进制格式),转换ASCII值为’C’,一直到第89号帧都有紧急数据,分析提取便得到了flag:CTF{And_You_Thought_It_Was_In_The_Picture},嗨呀,好气,正如flag所说:-(