追踪UDP数据流,没有任何隐藏信息:
WP:
观察流量包
每个流的唯一的区别就是UDP的源地址srcport的最后一位在变化
都提取出来就是二进制序列
用tshark提取一下
//使用tshark过滤出源端口,使用cut裁取端口的最后一位 tshark -r 8868f595665740159650d6e654aadc93.pcap -Tfields -e udp.srcport | cut -c 4-Tfields
:这个选项告诉tshark以字段列表的形式输出捕获的数据包信息,而不是默认的详细或摘要格式。这对于脚本处理或数据提取特别有用,因为它允许用户直接获取特定字段的值,而不需要解析复杂的输出格式。
-e udp.srcport
:这个选项指定了tshark应该提取并显示的字段。在这个例子中,它指定了提取UDP数据包的源端口号(udp.srcport)。-e选项后面可以跟任何Wireshark可以识别的协议字段名,以指定要提取哪些信息。
拿到二进制序列,尝试二进制转ASCII:
10110111100110101001011010001100100110101001000110011101100110101000110110011000
没有转出来,尝试倒序,01互换等等
01互换后转ASCII,拿到flag
