實(shí)驗(yàn)鏈接:http://www.shiyanbar.com/ctf/1813
數(shù)據(jù)包樣本：http://ctf5.shiyanbar.com/misc/zhua

題目：Hint：入侵者通過 ping 工具對局域網(wǎng)內(nèi)一主機(jī)進(jìn)行存活性掃描， flag 為入侵所 發(fā)送的 16 字節(jié)的數(shù)據(jù)包內(nèi)容。

分析：根據(jù)題目來看，ping，這句話告訴我們，一定要關(guān)注icmp包。因?yàn)閜ing發(fā)出的是icmp包
--詳見網(wǎng)絡(luò)基礎(chǔ)。可以參考CCNA學(xué)習(xí)體系或者HCNA學(xué)習(xí)體系。當(dāng)然，這里因?yàn)樗叫耐扑]了華為的clickHere

flag為16字節(jié)的數(shù)據(jù)，告訴我們。找一個(gè)16bytes的內(nèi)容。范圍已經(jīng)縮小很多。
這是一個(gè)數(shù)據(jù)包分析的題目。

操作：下載數(shù)據(jù)包樣本。下載以后，發(fā)現(xiàn)是個(gè)無后綴的文件，根據(jù)題目提醒，既然是數(shù)據(jù)包，那么后綴為pcap，因?yàn)閣ireshark數(shù)據(jù)分析包的后綴就是這個(gè)。
雙擊打開這個(gè)數(shù)據(jù)包，在wireshark的過濾框輸入icmp回車。

過濾包

挨個(gè)雙擊包進(jìn)行查看，單擊也可以。第一個(gè)包是正常的，沒有看到異常data，從第二個(gè)包開始，最后一部分出現(xiàn)了一個(gè)16bytes的內(nèi)容。

發(fā)現(xiàn)flag

data已經(jīng)被發(fā)現(xiàn)了，直接把這串?dāng)?shù)字復(fù)制出來，粘貼到答題框提交即可。如果直接復(fù)制值，需要去掉分號。
一開始我沒有去掉分號，耽誤了很長時(shí)間。