码迷,mamicode.com
首页 > 其他好文 > 详细

IDF实验室:保罗万象--抓到一只苍蝇

时间:2016-01-06 23:20:03      阅读:501      评论:0      收藏:0      [点我收藏+]

标签:

阅读目录 

题目


技术分享
题目给出的网盘链接,点击进入将文件下载到本地,文件名 "misc_fly.pcapng",是一个抓包软件抓取的数据包

开始分析

使用wireshark分析数据包
  • 打开数据包,发现基本上都是TCP的包和HTTP。其他底层的数据先不管,注意力放在应用层上
技术分享
  • 在这个数据包里面应用层的协议只有HTTP、DNS,过滤HTTP的包进一步的分析
技术分享
  • 从数据包发现都发往 http://set2.mail.qq.com 这里可以知道是qq邮箱的地址
  • 观察第一个请求
技术分享
  • POST了一段这样的JSON
  1. {
 "path":"fly.rar",
 "appid":"",
 "size":525701,
 "md5":"e023afa4f6579db5becda8fe7861c2d3",
 "sha":"ecccba7aea1d482684374b22e2e7abad2ba86749",
 "sha3":""
}
  • 目标的url地址
技术分享
  • 在Post提交中和目标URL地址中,这应该是一个上传文件的操作,文件名为fly.rar,文件大小为525701Bytes
  • 然后过滤全部POST请求数据包
技术分享
  • 点击倒数第二个包可以看到的内容是
技术分享
  • 现在可以确定
  1. 数据包的内容:一封带附件的邮件
发件人:81101652@qq.com
收件人:king@woldy.net
附件:fly.rar
附件大小:525701Bytes
  • 已经确定有一封附件数据,接下来寻找附件数据

寻找附件数据

技术分享
  • 上面中已经说到第一个请求向服务器POST附件信息,后面就应该是上传,接着数据包推断第二个2和6个,共5个数据包应为附件数据
  • 在这5个数据的附件数据里面查看Media Type域大小
技术分享
  • 5个数据包的附件数据Media Type域大小以此为
  1. 131436 Bytes
131436 Bytes
131436 Bytes
131436 Bytes
1777 Bytes
  1. 131436+131436+131436+131436+1777=527521Bytes
合计527521 Bytes,原附件大小525701 Bytes

还原附件数据

  • 观察5个包Media Type域的内容,前面一部分内容是相同的,那么这一部分是通信时需要的头部内容,并不是附件本身的内容,通过计算将多余的数据去除
已知:
附件被分成5个部分
5个子部分合计大小为527521Bytes
附件原大小为525701Bytes

求:
每个子部分头部多余的数据
合计大小527521Bytes-原附件大小525701Bytes/5个数据包=364Bytes
  • 将五个数据包的Media Type域以此从上到下分别导出为二进制文件
技术分享
  • 使用dd命令将上面算出来的 364 Bytes 移除
技术分享
  • 将移除后的文件合并成rar压缩包并查看Md5值
技术分享
  • 而在第一步中的POST数据为
  1. {
 "path":"fly.rar",
 "appid":"",
 "size":525701,
 "md5":"e023afa4f6579db5becda8fe7861c2d3",
 "sha":"ecccba7aea1d482684374b22e2e7abad2ba86749",
 "sha3":""
}
  • Md5值完全一致,说明这里已经由网络包还原出了附件文件 fly.rar 。哈哈~~~

处理还原的数据附件

解压rar..... 本以为到这里就完成了,没想到压缩包解压失败

继续分析,首先上面中的MD5值是完全一样的,说明包是没有损坏的可能

网上搜索了一下,结果说是压缩包有一个伪加密技术

将压缩包用16工具进制打开,(可用hex图形工具)

技术分享 以二进制打开
技术分享 以十六进制显示
  • 将84修改为80
技术分享
  • 修改文件后,:xxd -r 退回二进制,然后退出并保存
技术分享
技术分享
  • 成功得到文件 flag.txt

再次寻找附件数据

  • 我以为有答案了,^_^ ... 打开flag.txt文件又是一个二进制文件
  • 这是一个win32的程序,发到windows上运行,果然是蚊子技术分享
技术分享
技术分享

这并没有什么用呀,先把题目给解出来了吧

继续分析flag.txt文件,以十六进制显示,搜索TXT、RAR、PNG、JPG、JEPG

在搜索PNG的时候发现文件末尾有一个含有PNG的

将这段给提取出来保存为PNG文件

技术分享
技术分享 
  • 用手机扫一扫,结果得到密码
技术分享
上面题目中 技术分享
提交密码 : wctf{m1Sc_oxO2_Fly}

IDF实验室:保罗万象--抓到一只苍蝇

标签:

原文地址:http://www.cnblogs.com/vforbox/p/5107587.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!