自己并不是专业的赛棍也没有打过很多比赛，这篇文章是自己在CTF中对于杂项这块知识学习的小结，希望可以对初入CTF的同学有所帮助，在CTF中少走弯路从而更快的提升自己。

通常比赛中会提供一个包含流量数据的 PCAP 文件，有时候也会需要选手们先进行修复或重构传输文件后，再进行分析。

PCAP 这一块作为重点考察方向，复杂的地方在于数据包里充满着大量无关的流量信息，因此如何分类和过滤数据是参赛者需要完成的工作。

概括来讲在比赛中的流量分析有以下三个方向：

1、流量包修复 2、协议分析 3、数据提取

我们首先用一个合天的实验来对流量分析进行初探（wireshark之文件还原）

黑客通过ARP欺骗，使用wireshark获取了整个局域网内的流量信息，无意之中发现有人在某个网站上上传了一份文件，但是他不知道怎么用wireshark去还原这份文件，所以将监听的数据报保存了一份wireshark监听记录，我们需要对流量包进行分析并还原出目标所上传的图片。

打开数据包发现数据共有148条（算很少了）

但是手动一条一条去审计也很费精力。利用wireshark的显示过滤功能，因为从题目中我们确定，上传时候访问的是网站，所以在filter中输入http，显示所有的http协议数据包，还剩下32个

通过分析我们发现在末尾第143条数据中看到upload关键词的post数据包，从而怀疑这条就是涉及到上传的数据包。

当时做出这道题的并不多，全球只有26支队伍，给我我也不会做，拿过来咱看看

在tcp报文段中有6Bit的状态控制码，分别如下

URG：紧急比特（urgent）,当URG＝1时，表明紧急指针字段有效,代表该封包为紧急封包。它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据) ACK：确认比特（Acknowledge）。只有当ACK＝1时确认号字段才有效,代表这个封包为确认封包。当ACK＝0时，确认号无效。 PSH：（Push function）若为1时，代表要求对方立即传送缓冲区内的其他对应封包，而无需等缓冲满了才送。 RST：复位比特(Reset) ,当RST＝1时，表明TCP连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。 SYN：同步比特(Synchronous)，SYN置为1，就表示这是一个连接请求或连接接受报文,通常带有 SYN 标志的封包表示『主动』要连接到对方的意思。。 FIN：终止比特(Final)，用来释放一个连接。当FIN＝1时，表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。

RAR 文件的伪加密在文件头中的位标记字段上，用 010 Editor 可以很清楚的看见这一位，修改这一位可以造成伪加密。

3、其他如明文攻击等方法与ZIP相同。

太常见太常见，图像文件有多种复杂的格式，可以用于各种涉及到元数据、信息丢失和无损压缩、校验、隐写或可视化数据编码的分析解密，都是 Misc 中的一个很重要的出题方向。

图片隐写术的基础知识——元数据隐写

元数据（Metadata），又称中介数据、中继数据，为描述数据的数据（Data about data），主要是描述数据属性（property）的信息，用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。

元数据中隐藏信息在比赛中是最基本的一种手法，通常用来隐藏一些关键的 Hint 信息或者一些重要的比如password 等信息。

这类元数据可以 右键 -> 属性 查看

strings：打印可打印的字符，通常可以发现隐藏在压缩包中的注释内容或者是解压需要的密码等。

inentify：用于获取一个或多个图像文件的格式和特征，用来提取一些特定的数据。

文件格式：对于PNG文件来说，其文件头总是由固定的字节来描述的，剩余的部分由3个以上的PNG数据块（Chunk）按照特定的顺序组成。

PNG 定义了两种类型的数据块，一种是称为关键数据块（critical chunk），这是标准的数据块，另一种叫做辅助数据块（ancillarychunks），这是可选的数据块。关键数据块定义了 4 个标准数据块，每个 PNG 文件都必须包含它们，PNG 读写软件也都必须要支持这些数据块。

对于每个数据块都有着统一的数据结构，每个数据块由 4 个部分组成

IHDR（文件头数据块）

文件头数据块 IHDR（HeaderChunk）：它包含有 PNG 文件中存储的图像数据的基本信息，由 13 字节组成，并要作为第一个数据块出现在 PNG 数据流中，而且一个 PNG 数据流中只能有一个文件头数据块，其中我们只关注前8字节的内容

经常会去更改一张图片的高度或者宽度使得一张图片显示不完整从而达到隐藏信息的目的。

Kali中不可以打开，提示文件头错误，而Windows自带的图片查看器可以打开，就提醒了我们IHDR被人篡改过。