date
Aug 5, 2021 12:03 PM
Related to 日程数据 1 (blog)
tags
slug
summary
icon
category
password
这个wp参考网上大佬文章,自己是真的想不出来这种骚操作,还是太菜。
分析
首先将附件下载下来,发现是一个.pcapng,是wireshark抓包后保存的文件。我们通过wireshark打来。
可以发现抓取的包中协议类型有TCP、HTTP、ARP,我们可以确定这是一个网页的请求。
我们通过搜索关键字flag,可以找到几个有flag关键字的包,逐个查看其TCP流,可以找到几个上传的包,
在编号为1150的包的TCP流中,我们可以在其中找到已FFD8开头,FFD9结尾的十六进制串,这里是个知识点,这种开头结尾的十六进制串,是一个图片,我们将其复制出来,通过hex fiend新建一个空文件,以十六进制文本粘贴,保存成一个.jpg文件。
jpg、jpeg图像文件都是以FFD8开头,FFD9结束。
打开,发现是一个字符串。
将其填入flag,发现不是flag。因此我们又要想了,这个字符串到底是用在哪里呐。
在1637处发现一个未知文件开头为50 4B 03 04查询为压缩包文件。结合1150的目录信息应该为hello.zip
50 4B 0304:这是头文件标记 14 00:解压文件所需 pkware版本 00 00:全局方式位标记(有无加密) 08 00:压缩方式 07 76:最后修改文件时间 F2 48:最后修改文件日期
文件处理貌似有问题,文件打不开。
换种方法试试:
发现一个加密的zip的压缩包,
binwalk常用命令: -e 分解出压缩包 binwalk -e xxx -D或者--dd 分解某种类型的文件(在windows里要用双引号括起来) binwalk -D=jpeg xxx dd if=源文件 of=目标文件 skip=源文件decimal bs=1 -M 递归分解扫描出来的文件(得跟-e或者-D配合使用) binwalk -eM xxx
使用dd提取文件
还有简单模式:换一个foremost取证还原工具
打开分离出的压缩文件要求输入密码,填入Th1s_1s_p4sswd_!!!,得到flag文件。
总结
遇到问题一定要多尝试,把知道的方法都是一遍,总会有成功的时候,再不成功那就是知识面有短缺了,然后网上找一下大佬的wp,多学习。
参考资料
- 作者:lea
- 链接:https://ofai.stream/article/3
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
