2018年金融业ctf竞赛 backdoor 流量数据分析writeup
Backdoor
flag:flag{b3c4r3fortheChinaChopperFHGJKUI^U%}
解题过程:
利用wireshark打开文件,过滤http报文,任意选择一个报文右键选择追踪流->http流
追踪流里面包含大量16进制代码,观察前几位发现它是zip压缩文件的文件头
将z1后面的参数复制下来
以16进制形式粘贴到C32asm工具里
(文件->新建十六进制文件,新建后中间的内容框内含有内容,此时我们应先删除其内容。删除后,编辑->特别粘贴,选择“ASCII Hex”->确定,保存为zip文件)
通过文件头可观察到该文件为zip压缩文件保存后可将其改成扩展名为zip文件
打开压缩包可以看到里面包含一张图片
打开图片是一个二维码
扫描二维码即可得到flag
附:常见文件文件头
FFD8FFFE00, .JPEG;.JPE;.JPG, "JPGGraphic File"
FFD8FFE000, .JPEG;.JPE;.JPG, "JPGGraphic File"
474946383961, .gif, "GIF 89A"
474946383761, .gif, "GIF 87A"
424D, .bmp, "Windows Bitmap"
4D5A,.exe;.com;.386;.ax;.acm;.sys;.dll;.drv;.flt;.fon;.ocx;.scr;.lrc;.vxd;
.cpl;.x32, "Executable File"
504B0304, .zip, "Zip Compressed"
3A42617365, .cnt, ""
D0CF11E0A1B11AE1,.doc;.xls;.xlt;.ppt;.apr, "MS Compound Document v1 or Lotus Approach APRfile"
0100000058000000, .emf, ""
03000000C466C456, .evt, ""
3F5F0300, .gid;.hlp;.lhp, "Windows HelpFile"
1F8B08, .gz, "GZ Compressed File"
28546869732066696C65, .hqx, ""
0000010000, .ico, "Icon File"
4C000000011402, .lnk, "Windows LinkFile"
25504446, .pdf, "Adobe PDF File"
5245474544495434, .reg, ""
7B5C727466,.rtf, "Rich Text Format File"
lh, .lzh, "Lz compression file"
MThd, .mid, ""
0A050108, .pcx, ""
25215053, .eps, "Adobe EPS File"
2112, .ain, "AIN Archive File"
1A02, .arc, "ARC/PKPAK Compressed 1"
1A03, .arc, "ARC/PKPAK Compressed 2"
1A04, .arc, "ARC/PKPAK Compressed 3"
1A08, .arc, "ARC/PKPAK Compressed 4"
1A09, .arc, "ARC/PKPAK Compressed 5"
60EA, .arj, "ARJ Compressed"
41564920, .avi, "Audio Video Interleave(AVI)"
425A68, .bz;.bz2, "Bzip Archive"
49536328, .cab, "Cabinet File"
4C01, .obj, "Compiled Object Module"
303730373037, .tar;.cpio, "CPIO ArchiveFile"
4352555348, .cru;.crush, "CRUSH ArchiveFile"
3ADE68B1, .dcx, "DCX Graphic File"
1F8B, .gz;.tar;.tgz, "Gzip ArchiveFile"
91334846, .hap, "HAP Archive File"
3C68746D6C3E,.htm;.html, "HyperText Markup Language 1"
3C48544D4C3E,.htm;.html, "HyperText Markup Language 2"
3C21444F4354, .htm;.html, "HyperText MarkupLanguage 3"
100, .ico, "ICON File"
5F27A889, .jar, "JAR Archive File"
2D6C68352D,.lha, "LHA Compressed"
20006040600, .wk1;.wks, "Lotus 123 v1 Worksheet"
00001A0007800100, .fm3, "Lotus 123 v3 FMTfile"
00001A0000100400, .wk3, "Lotus 123 v3Worksheet"
20006800200, .fmt, "Lotus 123 v4 FMTfile"
00001A0002100400, .wk4, "Lotus 123 v5"
5B7665725D, .ami, "Lotus Ami Pro"
300000041505052, .adx, "Lotus ApproachADX file"
1A0000030000, .nsf;.ntf, "Lotus NotesDatabase/Template"
4D47582069747064, .ds4, "MicrografixDesigner 4"
4D534346, .cab, "Microsoft CAB FileFormat"
4D546864, .mid, "Midi Audio File"
000001B3, .mpg;.mpeg, "MPEG Movie"
0902060000001000B9045C00, .xls, "MS Excel v2"
0904060000001000F6055C00, .xls, "MS Excel v4"
7FFE340A,.doc, "MS Word"
1234567890FF, .doc, "MS Word 6.0"
31BE000000AB0000, .doc, "MS Word forDOS 6.0"
1A00000300001100, .nsf, "NotesDatabase"
7E424B00, .psp, "PaintShop Pro Image File"
504B0304, .zip, "PKZIP Compressed"
89504E470D0A, .png, "PNG Image File"
6D646174, .mov, "QuickTime Movie"
6D646174, .qt, "Quicktime MovieFile"
52617221, .rar, "RAR Archive File"
2E7261FD, .ra;.ram, "Real AudioFile"
EDABEEDB, .rpm, "RPM Archive File"
2E736E64, .au, "SoundMachine AudioFile"
53495421, .sit, "Stuffit v1 ArchiveFile"
53747566664974, .sit, "Stuffit v5Archive File"
1F9D, .z, "TAR Compressed ArchiveFile"
49492A, .tif;.tiff, "TIFF (Intel)"
4D4D2A,.tif;.tiff, "TIFF (Motorola)"
554641, .ufa, "UFA Archive File"
57415645666D74, .wav, "Wave Files"
D7CDC69A,.wmf, "Windows Meta File"
4C000000, .lnk, "Windows Shortcut (LinkFile)"
504B3030504B0304, .zip, "WINZIPCompressed"
FF575047, .wpg, "WordPerfectGraphics"
FF575043, .wp, "WordPerfect v5 orv6"
3C3F786D6C,.xml, "XML Document"
FFFE3C0052004F004F0054005300540055004200, .xml, "XML Document(ROOTSTUB)"
3C21454E54495459, .dtd, "XML DTD"
5A4F4F20, .zoo, "ZOO Archive File"
2018年金融业ctf竞赛 backdoor 流量数据分析writeup相关推荐
- CTF竞赛模式与训练平台
CTF竞赛主要有夺旗赛和攻防对抗赛. 夺旗赛 一般线上初选采用传统的夺旗赛模式,题目中设置一些标识,解题的目的是找到标识并提交.通常包含的题目类型包括MISC.CRYPTO.PWN.REVERSE.W ...
- 【CTF】CTF竞赛介绍以及刷题网址
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式.CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过 ...
- 网络安全技术CTF竞赛模式与训练平台
CTF竞赛是安全圈喜闻乐见的竞赛模式,对于培养网络安全技术人才起到了很重要的作用.CTF起源于1996年DEFCON全球黑客大会,是Capture The Flag的简称.经过多年的发展,CTF这种比 ...
- CTF竞赛密码学之 LFSR
概述: 线性反馈移位寄存器(LFSR)归属于移位寄存器(FSR),除此之外还有非线性移位寄存器(NFSR).移位寄存器是流密码产生密钥流的一个主要组成部分. GF(2)GF(2)GF(2)上一个n级反 ...
- CTF竞赛密码学 之 LFSR
目录 概述: 解决LFSR问题 Part(1) 2018 强网杯 Streamgame1 第一种方法 第二种方法 第三种方法 Part(1) 2018 强网杯 Streamgame2 Part(3 ...
- 2018年8月以太坊DApp数据分析报告
近日,链塔数据BlockData发布了<2018年8月以太坊DApp数据分析报告>,报告显示,以太坊上的DApp数量多达775个,形成了一个较为完善的开发生态圈,累计交易笔数多达3.003 ...
- 字节跳动杯2018中国大学生程序设计竞赛-女生专场题解
以下所有AC题解程序来自"仙客传奇"团队. A. 口算训练 题解链接: ABDFHK "字节跳动杯"2018中国大学生程序设计竞赛-女生专场 B. 缺失的数据范 ...
- 2018中国大学生程序设计竞赛-网络选拔赛题解
以下所有AC题解程序来自"仙客传奇"团队. A. Buy and Resell AC的C++语言程序: #include<iostream> #include<c ...
- 简述docx文档格式-CTF竞赛专用
简述docx文档格式-CTF竞赛专用 很多ctf竞赛中经常会出现,最后出来一个docx的文档,docx文件本身是一个压缩包,里面有很多内容是用于出题,很多flag藏在文档里面. 其实实际上doc文件是 ...
最新文章
- Redis集群:redis cluster方案
- 【Python】sort 和 sorted 的用法区别
- rocketmq安装,内存配置,各种命令说明,windows下安装,控制台工具
- Swift之五个让Swift代码更加优雅的扩展
- 怎么设置分组变量_GraphPad Prism 绘图教程 | 手把手教你绘制Grouped(分组)散点图...
- [原创]互联网金融App测试介绍
- 【线性代数本质】4:矩阵乘法本质
- Linux中防火墙端口查看,开启与关闭
- Liunx之chown命令
- Arduino 开发 — Arduino 函数库
- 数学基础知识总结 —— 2. 常用积分公式
- C++软件工程师的发展前景如何?
- 2019 年第 34 周 DApp 影响力排行榜 | TokenInsight
- 清除微信小程序button的默认样式
- esp8266 mesh 组网
- 【OpenGL ES】立方体贴图(6张图)
- 责任链设计模式介绍及实战
- web前端入门到实战:CSS动画之旋转魔方轮播
- 图解 SQL,这也太形象了吧
- 人人车被曝近百员工聚集北京总部维权