wireshark (来源:攻防世界)
1.关卡描述
2.解题步骤
分析:
题目只告诉我们这是一道简单的流量分析,来源是DDCTF,这个一看就不简单:
看了一下协议,重点就是TCP,HTTP,最重要的是有一个SSDP,这个没学过(笔记:结果也用不上)
我们先看看能导出哪些对象:
看到这3个链接,去找了一下,发现跟贴图库有关,有用的价值不大
up.imgapi.com
i2.bvimg.com
看到了几个有趣的文件名,追踪流看看:
这两个链接失效了
http://www.tietuku.com/cf4a99fe55a59b82
http://www.tietuku.com/ddc891b23147ba21
这个需要登录
http://www.tietuku.com/upload
tools.jb51.net --》工具网站
unicode转中文:
\u64cd\u4f5c\u6267\u884c\u6210\u529f ===》 操作执行成功
在流6中发现一个upload.png的数据
发现图片报错,但文件头正确,继续找其信息
又发现一张图片,文件名告诉我们为有趣的:
直接搞出来:
结果一张纯白的图片?
使用工具读取,发现报错,但实际上能打开,文件头前两行也都正常,这是为什么?
(笔记:导出的这两张的图片数据不全,所以都有问题)
继续搜索其他信息:
总共18个数据流:
两个推片都有问题,试一试修复文件尾:
PNG (png), ? ? ? ? ? ? ? ? ? ? ? ?文件头:89504E47 文件尾:AE 42 60 82
特征是:
头:
尾:
这里发现,不是真正的缺少文件头,而是内容太多,分布在不同的tcp中,我们一个一个的导出来这是不明智的,重点在于
把这种直接导,怎么做?
=========================
看了下别人的writeup,要导出的这样,在htttp里找,内容是相当的多
注意;Portable Network Graphics----》便携式网络图形
(笔记:这个是没有隐藏信息的图片)
上面的操作有点麻烦,需要用到winhex和记事本,还得删除数据,太麻烦了,这里有一个简单的操作,比如:
记得选择原始数据,这里这样的操作的最大好处是,不用找http,分析找图片什么的
然后利用winhex,直接搞定
upload.png-------》对应的就是那把钥匙
有了钥匙那就需要解密,怎么解密,关键还是在分析上
我们追踪流的时候发现了一个tools的工具网站,访问一下:
在线图片添加/解密隐藏信息(隐写术)工具 - 站长辅助工具 - 脚本之家在线工具
其实这里也给了我们暗示:
剩下的就是解密了,但需要密码,我们有一张钥匙的图片却没有密码,这里又很明显的告诉了我们这是隐写术,钥匙的图片高度有点低,关键还向下指着,很明显需要我们调整高度
利用winhex处理下png的图片:
key:57pmYyWt
发现解不开,说明在http协议那导出图片还是有点问题的,那个风景画的图片是没有加密的
这里才是我们需要解密的图片:
这里的数据很多,是http里的这一个数据:
对比两张的图片大小也能发现不同:
解密:
flag+AHs-44444354467B5145576F6B63704865556F32574F6642494E37706F6749577346303469526A747D+AH0-
看样子像16进制,我们转换一下:
ASCII 在线转换器 -ASCII码-十六进制-二进制-十进制-字符串-ascii查询器
DDCTF{QEWokcpHeUo2WOfBIN7pogIWsF04iRjt}
==============
总结:
这道题没做出来的主要原因是没有成功的导出图片,一是对协议不够理解,而是对wireshark的工具使用还不够熟练,而且总共就18个流,分析全都在数据流上,只要有http协议,那么重点关注的就是HTTP协议,分析http只是起点,重点依旧在于tcp流。有的时候文件头不好找,可以直接找文件尾,就比如这道题的文件尾标识
重点流是6和13
而且在导出http对象时,就能发现:
补充一下:
说明 multipart/form-data 既可以上传文件,也可以上传键值对,它采用了键值对的方式,所以可以上传多个文件。专门提交表单,上传文件用的
====================================