CTF——MISC习题讲解(流量分析winshark系列~三)
前言
上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列三。
一、ssl流量
首先打开题目得到两个文件,一个是log结尾的文件,另一个就是正常的流分包TLSv1.3都是经过加密的流量,所以我们第一步就应该解密,首先在我们文件里有一个解密的东西,我们进行导入 点击 编辑->首选项-> 然后需要我们把题目中自带的文件直接导入进去看看 导入完后就有http的协议 然后就发现有了flag的字眼 然后就直接TLS流得到flag flag{This_is_tr0e_flAg}
二、被偷走的文件
首先打开文件后发现以下界面 搜索一波后发现并没有http协议,那就直接搜索flag字眼看看 发现有点东西了,有一个flag.rar,那就直接访问然后导出来看看 访问flag没有什么有用的数据,那直接搜索一下rar 然后看一下分组字节流,直接导出为压缩包即可 导出后发现需要压缩包解密 用爆破工具开始爆破
得到爆破的密码为5790 得到flag{6fe99a5d03fb01f833ec3caa80358fa3}
三、带密码的压缩包
最近在博主(b站西二凤那里)淘到了一个查找flag的神奇工具,现在试一下 打开流分包发现以下界面 然后直接上一波操作,查找flag看看 发现有一个flag{0a19b0453da898f5a8f4a7b3dfb53d74} 但是这个是个假flag,哈哈哈哈,然后看这里还有flag.rar包,那就直接搜索rar看看,但是搜索过后发现在这里有很多包,就很不好确认,那就直接搜索Rar这个压缩包头试试 但是在这里其实还涉及到一个小知识点 27fc是代表着tcp分段传输的标志位,在中间的位置应该也是有其他的标志位,所以在这里导是导不出来的,还有一种方法就是直接导出108流中的http协议,因为http是应用层中的协议,会自动把标志位去掉 然后在导出分组字节流即可 在这里其实出现了小错误,http应该是看返回包也就是200ok的流 导出包后 发现用工具无济于事 因为在这里,工具智能识别rar版本5以下的,再往上是无法识别的,所以难点就是在这里了,那就直接写脚本试试了 给大家讲一下这个完整的过程,首先就是找到rar包的安装位置,并找到这个文件 把这个文件复制到桌面,打开命令行 然后上python脚本 但是在做的时候出问题了,我们直接先把这个压缩包放到010editor看看 发现头不对,直接修改一下,记住头尾都需要有这个标识,改完后在进行爆破就可以 但是不知道为什么我这一直报错,所以就先这样吧,我后续再看看,密码是123456弱口令,然后最终得到flag flag{3e3c7d63db892539f8c88a903bb6c7d1}
四、数据包中的线索
打开题目如下 接下来直接用工具查找flag并没有什么发现 继续看看http流量请求都有什么东西 发现http流就一组数据 发现这个流中都是base编码的,那么我们直接换种形式看看这里的数据都是什么 发现这里是一个图片形式的编码 最终得到flag
五、菜刀666
这个题应该算是经典的菜刀题了,也做一下
打开题目后如下所示 首先也是老规矩,查看flag,但是没有任何消息,接下来在看看统计中的http请求
有一个上传文件,去看看 发现在最后面有一个upload/1.php文件,因为这个是关于菜刀的,所以有可能是上传了一句话木马,先看一下返回包,我们进行查看后,确实是存在压缩包形式 发现在流量里存在一个压缩包(->|PK是压缩包形式) 直接导出来看下,记住导出为rar的形式
需要密码,但是暴力破解破解不出来,那就直接再看看有没有其他线索,发现这里有一个这样的图片,那就直接寻找这个图片,看一下是不是图片隐写
发现了一堆16进制 先复制出来看看,在010editor工具里导入16进制试试 发现在这里他有一个jpg的头部分,所以我们可以把这个16进制的文档直接转换成图片的形式
得到密码Th1s_1s_p4sswd_!!! 得到flag即可 flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}
|