考点
TCP流量的结构认识
Tshark的使用
脚本提取数据
无脑base91
复现过程
标识(Identification):由发送方帮助组装数据报的片段的标识值。
以太网缺省MTU=1500字节,这是以太网接口对IP层的约束(保证链路层的载波多路复用/冲突检测机制),如果IP层有<=1500字节的数据需要发送,只需要一个IP包就可以完成发送任务;如果IP层有>1500字节数据需要发送,需要分片才能完成发送。
也就是说当要发送的数据小于1500字节时,这个地方的数据变得没有意义,这里就是一个隐蔽通道。
参考链接:上述描述来源
这个没有提示我真的想不出来是这个来隐写信息,不知道有没有师傅可以解答一下为什么是用这个来隐写数据。
查看数据:
Tshark提取一下数据。
tshark -r .\attachment.pcap -T fields -e ip.id > tcpdata.txt
得到数据:
脚本把十六进制数据转化一下:
import binascii
import base64
import base91
data = ""
with open("tcpdata.txt","r") as file:
data = file.readlines()
newdata =[]
for da in data:
temp = da.strip("\n")[-2:]
newdata.append(temp)
strs = "".join(newdata)
strr = binascii.unhexlify(strs)
print(base91.decode(strr.decode()))
# @iH<,{*;oUp/im"QPl`yR*ie}NK;.D!Xu)b:J[Rj+6KKM7P@iH<,{*;oUp/im"QPl`yR
上面还做了base91直接出了。
