【攻防世界】Hidden-Message

⭕、知识点
流量分析/端口号隐写/tshark/json文件处理

一、题目

二、解法
1、端口号个位呈现有规律的01交替，可能隐藏信息。
2、为便于提取信息，使用kali的tshark对其进行转存
tshark -r input.pcap -T json > output.txt

注意在使用tshark时应避免使用root账户
否则会出现如下警告：
“Running as user "root" and group "root". This could be dangerous.”

3、得到转存的json文件后，使用python对端口信息进行提取

运行以下代码

import json,textwrap

allData = json.load(open("output.json", encoding='utf-8'))
hiddenMessage = ""
for data in allData:
    portInfo = int(data['_source']["layers"]["udp"]["udp.srcport"])-3400
    if portInfo == 1:
        portInfo = 0
    else:
        portInfo = 1
    hiddenMessage = hiddenMessage + str(portInfo)
groups = textwrap.wrap(hiddenMessage, 8)
hiddenMessage = ""
for group in groups:
    hiddenMessage += chr(int(group, 2))
print(hiddenMessage)

三、答案
Heisenberg