http://metasploit.lofter.com/post/d9d60_89a1f47
第一波刷题资料来源在上面链接,有pcap文件提供下载以及wp
A:Pwnium 2014 USB if for fun
工具strings:
涨姿势:用wireshark的搜索:
自动跳到了902号帧,也看到了flag
B:passwd.pcap
先用strings找到想要的字符串
然后追踪TCP流
以hex形式打开:
查询一下,0x7f是del删除,0x0d是回车
所以密码是:backd00Rmate
这里很奇怪的是:看到了帐户名和密码,但是显示的是incorrect啊~为啥会是对的呢
但是换了种姿势:去字符串列表里搜索Password,找到了43号帧,追踪TCP流发现的还是这个东西,所以~~~
C:ISF2014 Chopper
文件很小就8K,帧也不多,感觉应该还是相同套路可以操作的题
一样的想法:搜索ISG2014,x.tar.gz
发现在追踪:tcp.stream eq 3可以发现文件的传送
发现下面的就是数据,还是要以原始数据来保存为二进制文件
然后注意文件头标志:
所以,*.tar.gz的文件头标记为1F 8B 08,根据这个来恢复文件,最后得到flag
ISG{China_Ch0pper_Is_A_Slick_Little_Webshe11}
D:SCTF Misc400a
文件很大,需要将字符串导出到文件来分析,搜索后发现存在字符串:wwwroot.rar
在搜索中发现:有很多个相同字符串,那怎么判断是哪一个tcp流呢
选择:Statistics -> Conversations
选择到TCP,看到有一个Bytes特别大的,那当然可能是文件传送
选择Follow Stream,就找到了我们需要的东西:
标准rar的文件头,抠出来
打开发现需要提供密码,那么在之前的TCP流中肯定会协商密码
在Stream 19中,看到了1.gif
在Stream 18中,看到了RAR字头
看到了base64_decode,把这段字符串扣下来,先urldecode,再base64decode,可以看到:
密码就是JJBoom,成功打开了rar文件,解压发现了1.gif(这个文件还是有点问题打不开哈哈哈)
(这个Stream 18,19也就是一个一个尝试出来的,因为从21倒着往前数,也没几个数,而且有很多有问题的不完全的TCP流,一个一个验证,即可打开压缩包)
E:misc_fly
在strings中可以看到gif,jpg等文件格式,然后可以发现是QQ邮箱的数据发送记录
在tcp.stream eq 15中,发现了gif文件
但是恢复出来不对,打不开
这个抠出来可以看到一个gif,意义不大,一般的CTF题最终还是要找到flag的
搜索字符串:fly.rar,可以找到这个
文件大小为525701bytes,之后有md5,sha加密检验
过滤POST请求,分析数据
在这里可以看到包的大小为131436,这5个包的大小为131416 * 4 + 1777 = 527441 > 525701,说明之前相同的附加数据为来回的通信数据
一开始因为wireshark版本问题看不到这些数据
文件 -> 导出对象 -> HTTP
根据刚才的分析,把这5个包保存下来,分别保存为1,2,3,4,5
然后需要处理头部并且合并
https://blog.csdn.net/ab748998806/article/details/46279849
linux下命令为:
dd if=1 bs=1 skip=364 of=1.1 dd if=2 bs=1 skip=364 of=2.1 dd if=3 bs=1 skip=364 of=3.1 dd if=4 bs=1 skip=364 of=4.1 dd if=5 bs=1 skip=364 of=5.1 cat 1.1 2.1 3.1 4.1 5.1 > fly.rar md5sum fly.rar
说明正确下载到了rar文件,接着解压rar文件的时候又有个新的坑:RAR伪加密,即:修改了文件的加密标志位,但是并没有加密,找到对应位置改回来
打开之后是:4d5a:MZ,有点像可执行文件啊
点开运行,好多好多flys啊!
说明flag以文件形式藏在这个可执行文件里了
用linux下工具:foremost
https://www.topjishu.com/5800.html
在生成的output文件夹中,发现了这个
扫描得到flag:flag{m1Sc_oxO2_Fly}