buuctf-misc-被偷走的文件

流量分析题

用wireshark打开，搜索flag字符串

发现一个请求flag.rar的请求，往下找发现一个FTP data,怀疑是这个包泄露了关键信息，即flag.rar
点进去看看

发现rar文件头标识 52 61 72 71
这个应该就是flag.rar文件了

我们选择追踪该tcp流

选择原始数据， 另存为flag.rar

需要密码，检查过不是伪加密，也没有其他线索，只能尝试暴力破解
可以使用kali中的john破解，windows下的会有john会有编码问题（powershell保存hash.txt时会使用utf-16 Bom编码格式，而john不支持，需要先转码为utf-8）

rar2john ./flag.rar > hash.txt
john hash.txt --mask=?d?d?d?d

使用john进行4位纯数字破解，这是buuoj上压缩包常用的加密方式（主要是数字位数过高个人电脑跑不动了）
不行的话再用字典破解，还不行就放弃暴力破解吧

破解成功了，密码是5790
解压
flag{6fe99a5d03fb01f833ec3caa80358fa3}