0x01图片里的英语

一恒河沙中有三千世界，一张图里也可以有很多东西。

不多说了，答案是这个图片包含的那句英文的所有单词的首字母。

首字母中的首字母要大写，答案格式是wctf{一坨首字母}

加油吧少年！看好你哦~

直接在kali里binwalk一下，果然隐藏着数据，然后binwalk -e 提取出隐藏的文件是一个flag.jpg的图片

各种尝试感觉这是一个正常的图片,然后百度识图也无果，最后搜了下赵本山的两句台词
May the force be with you
I will be back！
最终flag：wctf{Mtfbwy}

0x02抓到一只苍蝇

报告首长！发现一只苍蝇。。

在哪？

here!

卧槽？！好大一坨苍蝇。。

文件地址： http://pan.baidu.com/s/1bnGWbqJ

提取码：oe6w

这是一个数据包文件，用wireshark打开，然后在过滤条件的位置写http，一般数据只和http相关。第二个包就是一个数据传输的post包，打开后看到一些上传的文件信息，看来是要找到那个文件了

名称：fly.rar
大小：525701

然后把过滤条件改为http.request.method==”POST”，仅查看post传输的数据，这样的话只剩下10个数据包了。其中第一个是发送的文件信息，那后面几个就应该是文件本身的数据了，通过数据包的结构来看应该是第2至第6个（后面的包明显不一样）。查看每个包Media Type的大小，前四个大小0都是131436，最后一个是1777

这样的话131436*4+1777>525701，多出的应该是数据的头信息了，大小为：（131436*4+1777-525701）/5=364
将他们减去，再把剩下的拼起来应该就是实际的数据了。把每个包的Media Type部分保存为二进制文件

分别命名为1，2，3，4，5，然后放到kali下，用linux下的命令

dd if=1 bs=1 skip=364 of=a

将每个文件的前364字节的数据减去，再用

cat a b c d e > f.rar

将他们合并为rar文件

这里直接的解压的话还不行，提示有加密，一开始爆破了下无果，又研究了下rar文件的格式

传送门：RAR文件格式的研究
猜到可能是伪加密，修改加密位置标志位即可解密，将0x84改为0x80

解压后虽然是一个txt文件，但实质是一个exe程序，运行以后TMD好多苍蝇，做的好逼真，其中文件最后隐藏了一个png文件，是一个二维码，扫码后得flag

flag{m1Sc_oxO2_Fly}