i春秋-misc系列

前言： 这几天做了一下i春秋的misc的题，有些题觉得有些陌生，觉得有必要记录一下。

题目来源：https://www.ichunqiu.com/battalion

Misc1

题目:find the flag
把附件下载下来，是一个.cap文件，打开一看，好像是一个能修剪图片的软件。

然而这个.cap文件不是用来打开的，而是用wireshark来打开的

wireshark下载地址：https://www.wireshark.org/download.html

但是用wireshark打开后，却显示保存信息

意思是：捕获文件似乎已损坏或损坏。（PCAP:文件有3138333535字节的数据包，大于最大值262144）

然后我们修复好这个文件。

修复链接：http://f00l.de/hacking/pcapfix.php

在线修复，修复完成后会得到一个.pcap的文件，下载下来即可，然后用wireshark打开。按分组字节流查找字符串flag。

然后你会找到好几个带flag流量包，仔细观察一下你就会发现，有好几个流量包中都带有一串相同的字符：where is the flag? 在它上面有flag的一部分

读flag一部分时，要从右往左的顺序读，然后按流量包从上到下的顺序把它们读完就行了。

Misc2

题目描述：要想会，先学会

这是一道流量分析题，题目给了一个.pcapng文件，很容易想多要用wireshark打开该文件。

其实到这我就没思路了，后来看了大佬的提示才知道ping是突破口，我们要把ping筛选出来，在过滤器中输入icmp

而真正的秘密就隐藏在这些长度之中，看到这些数值很容易让人想到ascii码转字符，但是直接转肯定得不到我们想要的结果，应该有偏移量，但我们又不知道偏移量是多少。

如果它就是最后的flag的话，我们可以把偏移量计算出来，因为flag的前四个字母一般都是“flag”，由此可以由我们算出来的偏移量去解其他的字符。还好这里是最后的flag，要是不是，我们就要暴力破解了，写一个脚本让字符串在一个足够大的范围内偏移，找到那串有规律的字符串。

1、计算偏移量法：
由 f 的ascii码为102，计算出偏移量为-42，这时可以手动破解，也可以写脚本，
python脚本如下：

a=[144,150,139,145,165,120,139,91,160,93,167]

flag=''

for i in a:
    flag+=chr(i-42)
print(flag)

2、暴力破解，直接用脚本进行破解，不用算偏移量

a=[144,150,139,145,165,120,139,91,160,93,167]

for i in range(-50,50):
    flag=''
    for j in a:
        flag+=chr(i+j)
    print(flag)

Misc3

题目：流量分析
题目是一个压缩包，里面有两个文件，一个.pcapng文件，一个l.og文件

没错，这又是道流量分析题。打开.log文件，发现里面有一串16进制字符

这本是一个rar文件的文件格式，但这里好像少了点东西，开头少了个数字5，因为rar的文件头为52617221，把这个5加上，然后然后复制到winhex里保存为rar文件

这个rar文件是加密的，流量包的的名字是password，所以密码应该在它那，用wireshark打开，然后依次点击 /文件/导出对象/HTTP 来导出hppt流量包，在众多http流量包中，用一个很特殊，里面有很长的 jsfuck 码。

我没有发现怎么在这个软件里复制下来，然后我把它导出，加上.txt后缀，然后打开复制的。
然后到解 jsfuck 编码的网站上解码，会得到压缩包的密码

解 jsfuck 编码的网站：http://www.jsfuck.com/

然后解开压缩包就可以了。