网站链接: element-ui dtcms
当前位置: 首页 > 技术博文  > 技术博文

2021-05-13 CTF Misc buu oj day9 5道题

2021/5/13 23:58:05 人评论

buu oj misc day9菜刀666类型流量包解题被偷走的文件类型流量包解题[BJDCTF2020]认真你就输了类型文件解题[GXYCTF2019]佛系青年类型文件解题[BJDCTF2020]藏藏藏类型文件解题菜刀666 类型 流量包分析 流量包 666666.pcapng 解题 流量包wireshark打开后基础分析&#xff1…

buu oj misc day9

  • 菜刀666
    • 类型
    • 流量包
    • 解题
  • 被偷走的文件
    • 类型
    • 流量包
    • 解题
  • [BJDCTF2020]认真你就输了
    • 类型
    • 文件
    • 解题
  • [GXYCTF2019]佛系青年
    • 类型
    • 文件
    • 解题
  • [BJDCTF2020]藏藏藏
    • 类型
    • 文件
    • 解题

菜刀666

类型

流量包分析

流量包

666666.pcapng

解题

  1. 流量包wireshark打开后基础分析:
  • 统计-协议分级:
    协议统计

  • Conversation统计:
    会话

  • HTTP分组计数:
    http请求

  • 请求统计:
    http请求

  1. 发现http请求,上传1.php,分析为可以数据包,过滤ip.addr==192.168.43.83 and http,很多请求:
    搜索框

  2. 打开看每个请求都是base64编码的命令
    很多同样请求

  3. 用命令导出tshark -r 666666.pcapng -T fields -e urlencoded-form.value > data.txt(-e 后面参数“urlencoded-form.value”是通过右键要导出编码值,选中过滤),将所有action值导出到data.txt,打开有很多空行:
    直接保存的txt

  4. 自编脚本去空行

f = open('output.txt','w')
#输入文件
d = open('./data.txt','r')
for line in d:
    if(line[0]=='@'):
    #data.txt文件非空行的第一个字符都是@,通过判断过滤出非空行
        for i in range(0,len(line)):
            if(line[i]==','):
                line = line[i+1:]
                #逗号‘,’后面是base64编码,把逗号前的字符去掉
                print(line, file = f)
                break
    else:
        continue
        
d.close()
f.close()

但是结果还是有空行,不知道什么原因,对后面影响不大,就不做处理了
但是结果还是有空行,不知道什么原因

  1. 查看文件发现23行有一大段的编码,中间解码发现上传jpg,保存后面大段16进制,复制后到010Editor,编辑->粘贴自十六进制文本粘贴,保存为jpg格式文件,打开后看到图片:
    是个密码
  2. strings 666666.pcapng | grep flag看到有文件:
    strings
    binwalk看一下里面包含压缩文件,解压缩
    解压
  3. 得到压缩包,用图片的密码得到flag:flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}
    flag

被偷走的文件

类型

流量包分析

流量包

被偷走的文件.pcapng

解题

复习题

strings 被偷走的文件.pcapng|grep flag

strings

binwalk 被偷走的文件.pcapng

binwalk

binwalk 被偷走的文件.pcapng -e

得到rar文件后ARCHPR爆破4位纯数字(看别人wp知道的4位纯数字)得到密码5790,解密压缩包得到flag:flag{6fe99a5d03fb01f833ec3caa80358fa3}
5790
flag

[BJDCTF2020]认真你就输了

类型

压缩包分析

文件

10.xls

解题

打开后发现是乱码,但是看到PK想到是压缩包,可以修改后缀为zip,然后直接打开得到flag:flag{M9eVfi2Pcs#}
flag
还有一种是通过binwalk解压缩,看目录tree找到flag.txt文件:
binwalk解压缩
flag.txt

[GXYCTF2019]佛系青年

类型

压缩包分析-伪加密

文件

0.zip

解题

复习伪加密全局加密位是在6、7位,文件是在8、9位,修改为0可解压缩
修改加密位
另:binwalk可以无视伪加密,可直接解压:
binwalk直接解压缩
解压得到文件
得到图片1.png和文本fo.txt
解压缩后
图片没发现问题,fo.txt打开后有一段与佛论禅编码文字
可疑文字

在线解密得到flag:flag{w0_fo_ci_Be1}
flag

[BJDCTF2020]藏藏藏

类型

图片分析

文件

藏藏藏.jpg
藏藏藏

解题

图片分析,到binwalk时发现有zip:
binwalk解压无果
foremost
得到output文件夹,打开发现00000099.zip里有一个word文档,福利.docx,打开后是一个二维码图片,扫描的flag:flag{you are the best!}

福利
flag

相关资讯

    暂无相关的数据...

共有条评论 网友评论

验证码: 看不清楚?