抓到一只苍蝇 writeup
题目在 http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=57
下载到的文件是misc_fly.pcapng,使用wireshark打开,能看到一堆tcp、http和dns协议混合的数据包,在上面的框里面输入http,让它只显示http协议的数据包。
逐个展开大致的看了下,是在qq邮箱里面发送邮件。其中有一个上传文件行为,分为5个HTTP请求。
{"path": "fly.rar","appid": "","size": 525701,"md5": "e023afa4f6579db5becda8fe7861c2d3","sha": "ecccba7aea1d482684374b22e2e7abad2ba86749","sha3": ""
}
接下来提取文件 在每个请求的media type上点右键export
发现提取出来的文件比实际的要大呢
-rw-r--r-- 1 root root 131436 6月 18 15:47 1
-rw-r--r-- 1 root root 131436 6月 18 15:47 2
-rw-r--r-- 1 root root 131436 6月 18 15:48 3
-rw-r--r-- 1 root root 131436 6月 18 15:48 4
-rw-r--r-- 1 root root 1777 6月 18 15:48 5
怀疑是文件头部添加了东西,对比一下每个文件,确实在大约0x4d0的位置以上都是一样的。后来搜索得知这是文件分块的头部,存储有分块大小等信息。
提取出来的文件总大小是527521,而上面提示的文件大小是525701,(527521 - 525701) / 5.0 = 364就是每个文件被添加的头部的大小,手动的去掉就可以了。
可以使用命令 dd if=输入文件名 bs=1 skip=364 of=输出文件名
然后cat,或者用Python seek一下就好了。
最终得到一个rar文件。
其实提取文件还有简单的方法就是使用foremost, foremost -i -e misc_fly.pcapng
,然后output/rar/xxx.rar就有了。但是文件大小是对的,md5却是错的。再研究一下。。。。
文件在mac和linux打开都提示输入密码,在windows下使用360压缩提示文件损坏,怀疑文件被修改过。使用Bless打开文件,看到第17个字节处rar加密标志位是84,可能是伪加密,将它修改为80以后,保存并正常解压得到一个exe。
继续开windows虚拟机,
运行这个exe得到一屏幕的苍蝇,也倒符合了这个题目的意思。。。
回到linux,使用binwalk分析可以看到文件末尾包含一个图片,有点异常,提取出来看看。还是用 dd if=flag.txt bs=1skip=991232 of=1.png
0xEDCC2 Zlib compressed data, best compression, uncompressed size >= 14460
47 0xEF3EB PC bitmap, Windows 3.x format, 49 x 23 x 8
96 0xF1BF4 XML document, version: "1.0"
32 0xF2000 PNG image, 280 x 280, 1-bit colormap, non-interlaced
得到一个二维码,扫一下就能获取到flag了。结果是 flag{m1Sc_oxO2_Fly}
抓到一只苍蝇 writeup相关推荐
- IDF实验室-抓到一只苍蝇
感觉这道题对我已经有难度了 一.原题 报告首长!发现一只苍蝇.. 在哪? here! 卧槽?!好大一坨苍蝇.. 文件地址: http://pan.baidu.com/s/1bnGWbqJ 提取码:oe ...
- IDF 包罗万象 抓到一只苍蝇
报告首长!发现一只苍蝇. 在哪?here! 卧槽?!好大一坨苍蝇.. 文件地址: http://pan.baidu.com/s/1bnGWbqJ 提取码:oe6w PS:flag写错了,太麻烦也懒得改 ...
- Bugku:分析 抓到一只苍蝇
这道题总觉得和苍蝇有关啊 看到很多很多的包,感觉头大. 查了一下网上大佬的wp,又学到了一个指令 先选择文件,导出对象,HTTP. 打开之后就能看到很多具体的文件?比一条一条的协议少多了. 这时候就 ...
- 【CTF】BugkuCTF - 分析 - 抓到一只苍蝇
1.下载文件wireshark打开分析文件 2.过滤出post请求 http.request.method == "POST" 3.分析出是在上传文件. 找到文件参数数据包 数据包 ...
- ctfIDF实验室捉到一只苍蝇
抓到一只苍蝇 2015-02-25 12:31:03 作者:admin 295724 报告首长!发现一只苍蝇.. 在哪? here! 卧槽?!好大一坨苍蝇.. 文件地址: http://pan.bai ...
- python爬取基金历史净值_Python学习笔记之抓取某只基金历史净值数据实战案例
摘要:这篇Python开发技术栏目下的"Python学习笔记之抓取某只基金历史净值数据实战案例",介绍的技术点是"Python学习笔记.Python.历史净值数据.学习笔 ...
- IDF-抓到一只苍蝇
文件地址: http://pan.baidu.com/s/1bnGWbqJ 提取码:oe6w 1.下载文件misc_fly .pcapng,如果安装了Wireshark,则会自动打开该文件,目标web ...
- bugku——抓住一只苍蝇
今天做了bugku的这道题,这才是九曲山路十八弯啊,自己解崩溃了,看了大佬的题解才做出来. 这里记录一下. 下载下来pcang文件使用wireshark打开 在分组字节流中搜索一下flag{没什么东西 ...
- 打怪升级js,随机产生一只苍蝇,点击消失
这个是body部分,只有简单的东西 <h4>你的分数</h4> <span id="sorce"> <!-- 放置的是你的分数 --> ...
最新文章
- GirdView的文本属性对象省略溢出标记设置
- matlab fft simulink,在Simulink中复制MATLAB的FFT?
- 山东省青岛市黄海学院计算机考试,2017年3月山东计算机等级考试考点联系方式...
- 图解Oracle存储过程教程
- WIndows10系统解决“选择电源按钮的功能”中没有休眠选项
- 65.Java语法糖
- ip sensor芯片级解决方案
- 聚类分析在用户行为中的实例_看完这篇,你还敢说不懂聚类分析?
- 浅谈ajax中get与post的区别,以及ajax中的乱码问题的解决方法
- python如何定义类_Python class定义类,Python类的定义(入门必读)
- 机器视觉:百万像素工业镜头
- J2EE架构的优点和缺点有哪些
- 腾讯电脑管家怎么阻止软件自动安装
- 梯度向量的超简单理解
- Connectionist Temporal Classification: Labelling Unsegmented Sequence Data with Recurrent Neural Netw
- Python-Scrapy-抓取链家二手房信息
- 供应链管理的五大策略
- java根据权重随机抽奖
- Laravel教程 八:queryScope 和 setAttribute
- Java开发 - 布隆过滤器初体验
热门文章
- python log文件如何不写入syslog_Centos下python 对syslog重写进行日志记录
- pat 乙级 1015 德才论(C++)
- pat 乙级 1009 说反话 (C++)
- 如何选购工业级光模块
- 查看mysql8日志_mysql dba系统学习(8)查询日志文件功能
- 计算机房英语单词,主机房是什么意思
- 移动通信蜂窝原理例题整理
- 边缘计算、雾计算、云计算区别几何?
- linux 添加本地源,linux 添加本地yum源
- jieba库词频统计_如何用python对《三国演义》、《红楼梦》等名著开展词云分析及字频统计、出场统计等工作。...