http://metasploit.lofter.com/post/d9d60_89a1f47

第一波刷题资料来源在上面链接,有pcap文件提供下载以及wp


A:Pwnium 2014 USB if for fun

工具strings:

涨姿势:用wireshark的搜索:


自动跳到了902号帧,也看到了flag


B:passwd.pcap

先用strings找到想要的字符串

然后追踪TCP流

以hex形式打开:

查询一下,0x7f是del删除,0x0d是回车

所以密码是:backd00Rmate

这里很奇怪的是:看到了帐户名和密码,但是显示的是incorrect啊~为啥会是对的呢

但是换了种姿势:去字符串列表里搜索Password,找到了43号帧,追踪TCP流发现的还是这个东西,所以~~~


C:ISF2014 Chopper

文件很小就8K,帧也不多,感觉应该还是相同套路可以操作的题

一样的想法:搜索ISG2014,x.tar.gz

发现在追踪:tcp.stream eq 3可以发现文件的传送

发现下面的就是数据,还是要以原始数据来保存为二进制文件

然后注意文件头标志:

所以,*.tar.gz的文件头标记为1F 8B 08,根据这个来恢复文件,最后得到flag

ISG{China_Ch0pper_Is_A_Slick_Little_Webshe11}


D:SCTF Misc400a

文件很大,需要将字符串导出到文件来分析,搜索后发现存在字符串:wwwroot.rar

在搜索中发现:有很多个相同字符串,那怎么判断是哪一个tcp流呢

选择:Statistics -> Conversations

选择到TCP,看到有一个Bytes特别大的,那当然可能是文件传送

选择Follow Stream,就找到了我们需要的东西:

标准rar的文件头,抠出来

打开发现需要提供密码,那么在之前的TCP流中肯定会协商密码

在Stream 19中,看到了1.gif

在Stream 18中,看到了RAR字头

看到了base64_decode,把这段字符串扣下来,先urldecode,再base64decode,可以看到:

密码就是JJBoom,成功打开了rar文件,解压发现了1.gif(这个文件还是有点问题打不开哈哈哈)

(这个Stream 18,19也就是一个一个尝试出来的,因为从21倒着往前数,也没几个数,而且有很多有问题的不完全的TCP流,一个一个验证,即可打开压缩包)


E:misc_fly

在strings中可以看到gif,jpg等文件格式,然后可以发现是QQ邮箱的数据发送记录

在tcp.stream eq 15中,发现了gif文件

但是恢复出来不对,打不开

这个抠出来可以看到一个gif,意义不大,一般的CTF题最终还是要找到flag的


搜索字符串:fly.rar,可以找到这个

文件大小为525701bytes,之后有md5,sha加密检验


过滤POST请求,分析数据



在这里可以看到包的大小为131436,这5个包的大小为131416 * 4 + 1777 = 527441 > 525701,说明之前相同的附加数据为来回的通信数据

一开始因为wireshark版本问题看不到这些数据

文件 -> 导出对象 -> HTTP

根据刚才的分析,把这5个包保存下来,分别保存为1,2,3,4,5

然后需要处理头部并且合并

https://blog.csdn.net/ab748998806/article/details/46279849

linux下命令为:

dd if=1 bs=1 skip=364 of=1.1
dd if=2 bs=1 skip=364 of=2.1
dd if=3 bs=1 skip=364 of=3.1
dd if=4 bs=1 skip=364 of=4.1
dd if=5 bs=1 skip=364 of=5.1
cat  1.1  2.1  3.1  4.1  5.1  >  fly.rar
md5sum fly.rar

说明正确下载到了rar文件,接着解压rar文件的时候又有个新的坑:RAR伪加密,即:修改了文件的加密标志位,但是并没有加密,找到对应位置改回来

打开之后是:4d5a:MZ,有点像可执行文件啊

点开运行,好多好多flys啊!

说明flag以文件形式藏在这个可执行文件里了

用linux下工具:foremost

https://www.topjishu.com/5800.html

在生成的output文件夹中,发现了这个

扫描得到flag:flag{m1Sc_oxO2_Fly}