题目在 http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=57

下载到的文件是misc_fly.pcapng，使用wireshark打开，能看到一堆tcp、http和dns协议混合的数据包，在上面的框里面输入http，让它只显示http协议的数据包。

逐个展开大致的看了下，是在qq邮箱里面发送邮件。其中有一个上传文件行为，分为5个HTTP请求。

{"path": "fly.rar","appid": "","size": 525701,"md5": "e023afa4f6579db5becda8fe7861c2d3","sha": "ecccba7aea1d482684374b22e2e7abad2ba86749","sha3": ""
}

接下来提取文件 在每个请求的media type上点右键export

发现提取出来的文件比实际的要大呢

-rw-r--r-- 1 root root 131436  6月 18 15:47 1
-rw-r--r-- 1 root root 131436  6月 18 15:47 2
-rw-r--r-- 1 root root 131436  6月 18 15:48 3
-rw-r--r-- 1 root root 131436  6月 18 15:48 4
-rw-r--r-- 1 root root   1777  6月 18 15:48 5

怀疑是文件头部添加了东西，对比一下每个文件，确实在大约0x4d0的位置以上都是一样的。后来搜索得知这是文件分块的头部，存储有分块大小等信息。

提取出来的文件总大小是527521，而上面提示的文件大小是525701，(527521 - 525701) / 5.0 = 364就是每个文件被添加的头部的大小，手动的去掉就可以了。

可以使用命令 dd if=输入文件名 bs=1 skip=364 of=输出文件名 然后cat，或者用Python seek一下就好了。

最终得到一个rar文件。

其实提取文件还有简单的方法就是使用foremost， foremost -i -e misc_fly.pcapng ，然后output/rar/xxx.rar就有了。但是文件大小是对的，md5却是错的。再研究一下。。。。

文件在mac和linux打开都提示输入密码，在windows下使用360压缩提示文件损坏，怀疑文件被修改过。使用Bless打开文件，看到第17个字节处rar加密标志位是84，可能是伪加密，将它修改为80以后，保存并正常解压得到一个exe。

继续开windows虚拟机，

运行这个exe得到一屏幕的苍蝇，也倒符合了这个题目的意思。。。

回到linux，使用binwalk分析可以看到文件末尾包含一个图片，有点异常，提取出来看看。还是用 dd if=flag.txt bs=1skip=991232 of=1.png

        0xEDCC2         Zlib compressed data, best compression, uncompressed size >= 14460
47        0xEF3EB         PC bitmap, Windows 3.x format, 49 x 23 x 8
96        0xF1BF4         XML document, version: "1.0"
32        0xF2000         PNG image, 280 x 280, 1-bit colormap, non-interlaced

得到一个二维码，扫一下就能获取到flag了。结果是 flag{m1Sc_oxO2_Fly}

抓到一只苍蝇 writeup相关推荐

1. IDF实验室-抓到一只苍蝇

   感觉这道题对我已经有难度了 一.原题 报告首长!发现一只苍蝇.. 在哪? here! 卧槽?!好大一坨苍蝇.. 文件地址: http://pan.baidu.com/s/1bnGWbqJ 提取码:oe ...

2. IDF 包罗万象 抓到一只苍蝇

   报告首长!发现一只苍蝇. 在哪?here! 卧槽?!好大一坨苍蝇.. 文件地址: http://pan.baidu.com/s/1bnGWbqJ 提取码:oe6w PS:flag写错了,太麻烦也懒得改 ...

3. Bugku：分析 抓到一只苍蝇

   ​这道题总觉得和苍蝇有关啊 看到很多很多的包,感觉头大. 查了一下网上大佬的wp,又学到了一个指令 先选择文件,导出对象,HTTP. 打开之后就能看到很多具体的文件?比一条一条的协议少多了. 这时候就 ...

4. 【CTF】BugkuCTF - 分析 - 抓到一只苍蝇

   1.下载文件wireshark打开分析文件 2.过滤出post请求 http.request.method == "POST" 3.分析出是在上传文件. 找到文件参数数据包 数据包 ...

5. ctfIDF实验室捉到一只苍蝇

   抓到一只苍蝇 2015-02-25 12:31:03 作者:admin 295724 报告首长!发现一只苍蝇.. 在哪? here! 卧槽?!好大一坨苍蝇.. 文件地址: http://pan.bai ...

6. python爬取基金历史净值_Python学习笔记之抓取某只基金历史净值数据实战案例

   摘要:这篇Python开发技术栏目下的"Python学习笔记之抓取某只基金历史净值数据实战案例",介绍的技术点是"Python学习笔记.Python.历史净值数据.学习笔 ...

7. IDF-抓到一只苍蝇

   文件地址: http://pan.baidu.com/s/1bnGWbqJ 提取码:oe6w 1.下载文件misc_fly .pcapng,如果安装了Wireshark,则会自动打开该文件,目标web ...

8. bugku——抓住一只苍蝇

   今天做了bugku的这道题,这才是九曲山路十八弯啊,自己解崩溃了,看了大佬的题解才做出来. 这里记录一下. 下载下来pcang文件使用wireshark打开 在分组字节流中搜索一下flag{没什么东西 ...

9. 打怪升级js，随机产生一只苍蝇，点击消失

   这个是body部分,只有简单的东西 <h4>你的分数</h4> <span id="sorce"> <!-- 放置的是你的分数 --> ...

最新文章

1. GirdView的文本属性对象省略溢出标记设置
2. matlab fft simulink,在Simulink中复制MATLAB的FFT？
3. 山东省青岛市黄海学院计算机考试,2017年3月山东计算机等级考试考点联系方式...
4. 图解Oracle存储过程教程
5. WIndows10系统解决“选择电源按钮的功能”中没有休眠选项
6. 65.Java语法糖
7. ip sensor芯片级解决方案
8. 聚类分析在用户行为中的实例_看完这篇，你还敢说不懂聚类分析？
9. 浅谈ajax中get与post的区别,以及ajax中的乱码问题的解决方法
10. python如何定义类_Python class定义类，Python类的定义（入门必读）
11. 机器视觉：百万像素工业镜头
12. J2EE架构的优点和缺点有哪些
13. 腾讯电脑管家怎么阻止软件自动安装
14. 梯度向量的超简单理解
15. Connectionist Temporal Classification: Labelling Unsegmented Sequence Data with Recurrent Neural Netw
16. Python-Scrapy-抓取链家二手房信息
17. 供应链管理的五大策略
18. java根据权重随机抽奖
19. Laravel教程 八：queryScope 和 setAttribute
20. Java开发 - 布隆过滤器初体验

热门文章

1. python log文件如何不写入syslog_Centos下python 对syslog重写进行日志记录
2. pat 乙级 1015 德才论（C++）
3. pat 乙级 1009 说反话 (C++)
4. 如何选购工业级光模块
5. 查看mysql8日志_mysql dba系统学习（8）查询日志文件功能
6. 计算机房英语单词,主机房是什么意思
7. 移动通信蜂窝原理例题整理
8. 边缘计算、雾计算、云计算区别几何？
9. linux 添加本地源,linux 添加本地yum源
10. jieba库词频统计_如何用python对《三国演义》、《红楼梦》等名著开展词云分析及字频统计、出场统计等工作。...