【攻防世界】- 3-1

⭕、知识点
rar文件格式/pcap文件还原/流量分析之远程桌面/AES解密

一、题目
给了一个文件

二、解题
1、丢到010分析发现是Rar文件，改一下后缀解压得到另一个文件

2、把这个文件丢到010里没有发现特殊的标志，还不知道是什么文件

3、把文件放入kali看看有没有隐藏的二进制文件，结果歪打正着，发现文件复制过去的图标是wireshark文件的图标

4、于是回去把文件后缀加上(.pcap)，果真可以打开

5、分析发现这是一段远控桌面的流量

6、追踪tcp流，发现压缩包

7、保存并尝试解压
发现需要密码。

8、回去继续寻找密码，发现后面有一段base编码的东西，和一段python代码

9、从上面的信息来看解压密码应该是需要用AES解密这段base编码得到

10、得到解密密钥并解压文件，得到flag

三、答案
WDCTF{Seclab_CTF_2017}

四、知识积累

1、当在windows里不知道文件类型是啥时，可以放进kali里面看看有没有意外收获

2、对pcap文件图标要敏感

3、熟悉TELNET会话协议