在上两篇MISC中，我们遇到的是图片的一些问题，主要涉及到文件标识头、文件结构、CRC32冗余计算、编码字符内容，并给出了winhex下载链接（详见《带你走入CTF之路-杂项MISC(一)》），需要大家不断的对这些知识点进行记忆和整理。那么接下来遇到的《telnet》题目，就要我们掌握新的内容，即网络数据包分析。

1、 telnet

这道题给了我们一个连接下载连接，需要下载1.zip文件。

       解压文件后我们会发现这是一个.pcap文件。（知识点：pcap文件是数据包文件，通常使用wireshark去打开分析。Wireshark百度链接就可自行下载，kali系统也自带该工具）

       如图这是我们打开数据包的内容：

       分析：在海量的数据包中，我们需要查看本次的一个TCP会话信息，可以通过分析-追踪流-TCP流来查看。

       在整个的一个TCP协议包中我们就可以找到flag。    

      总结：这个数据包分析的题目比较简单，只要会使用wireshark基本功能就可以。需要掌握wireshark基本使用方法。

2、 眼见非实

      首先下载该文件，发现文件名称是“zip”，并无后缀文件类型。那么我们第一个思路就是尝试给它添加zip文件后缀名。

在添加后缀后，发现确实是一个zip文件，里面可以看到解压的内容“眼见

非实”。

       当我们用word打开想查看里面的内容时，发现报错，打不开这个文件，说明这个文件损坏，或者它根本就不是一个word文件。在遇到这种情况，我们的第一反应就是通过winhex查看文件16进制码。(类似的，当有文件报错或者打不开的情况下，通过winhex查看16进制码)，可以看到如下：PK就是压缩包的头文件标识。16进制码为504B0304。可以看到又是一个zip的压缩包。

        按照这个思路，我们继续把文件类型后缀改为zip尝试去发现flag。

       可以发现flag在这个文件夹下面。

      思路：通过更改文件类型来查找flag。是文件标识符判定和查找敏感信息的结合。这里附上一个链接：总结了一些关于文件标识头的内容：https://www.cnblogs.com/WangAoBo/p/6366211.html

3、 啊哒

在众多的图片类型题目中，我们终于遇到了一个通过查看属性来发现隐藏内容的东西，如下图片本题图片：

思路：在遇到图片类型的题目中，首先右键查看图片属性，首先右键查看图片属性，首先右键查看图片属性。重要的事情说三遍。

       在查看属性后，我们会发现很有意思的一个东西，就是相机型号。这是一个非常规的东西。（在做的题目多了，有一定经验一眼就能看出来，所以还需要广大CTF爱好者多刷题）。此时需要对各种字符编码特别熟悉，这段字符编码“73646E6973635F32303138”就是16位ASCII码。我们把它做一下转换看看：

       可以看到转换出来的字符“sdnisc_2018”。但是我们不知道这个具体是做什么用（一般找到的字符要往是否是密码上挂钩）。此时我们就需要使用binwalk进行文件提取。

如图，使用binwalk进行文件提取，发现有一个压缩包：

       解压压缩包的过程中，我们会使用到：

       查看文件获取flag。

 知识点：

1、 掌握各个编码字符特征，如：ASCII码、GB2312、GBK、UTF-8等。

2、熟悉binwalk使用方法，主要是-e提取参数。

今天的几个题比较简单，涉及到的知识点也比较单一。我们可以多加记忆和练习。下一期我们将对后续知识点进行梳理和思路点拨。