一道有趣的网络取证分析CTF题目

0x01 解题

这是一道新颖的网络取证分析的题目，用TCP协议紧急数据来隐藏发送flag，很多选手都被其中的图片带偏了方向，导致花了很多时间也没有做出来，其实刚开始我也被带入坑:-(

下载题目使用Wireshark打开分析，整个过程为客服端请求http://secrets.ctf/message.png，然后与服务端进行TCP的三次握手建立连接，之后便开始分段传输数据，直到message.png传输完成释放连接。

然后我们就会毫不犹豫把message.png导出便开始分析，我就是这样被带入坑，然而分析N久，没有什么收获，然后开始怀疑是不是流量包还藏着其他信息没有get到，于是便开始仔细分析包，发现了些有趣的东西：

从服务端向客服端发送message.png的分段数据开始到89号帧，每个TCP报文段控制位除了ACK（Acknowledgment）置1（表示确认号字段有效），URG（Urgent）位也都被置1（表示紧急指针字段有效，表明此报文段又紧急数据）

在上图可以看到紧急指针指向紧急数据的位置，其字段值为67（十进制格式），转换ASCII值为’C’，一直到第89号帧都有紧急数据，分析提取便得到了flag：CTF{And_You_Thought_It_Was_In_The_Picture}，嗨呀，好气，正如flag所说:-(