2022年蓝帽杯misc部分
1.神秘的日志
题目没有搜到,但应该是问NTML身份验证的时间
解压出来拿到两个日志文件,正常我们先看第二个system
打开system查看日志
里面东西很多,我们过滤有用的东西,只看错误和警告
发现有用的就只有这2条
分别对应两个时间,然后我们取security里面去搜这两个时间
每个对应五个
我们随便打开一个,查看详细
里面有创建时间,一共有十个,没有好的办法,我们只能一个一个试,将他们转成MD5值
下面这个是正确的时间
转为md5
flag{dafd0428f634aefd1ddb26f8257c791f}
2.加密的通道
网上找到的题目
拿到一个流量包,我们首先直接过滤TCP包,然后看一下,发现这个流量包比较特别,下面类似与base16加密
可以看到第一个aaa那明显是一个蚁剑流量
关于蚁剑流量(PHP用base64) |
PHP类WebShell链接流量
将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。
蚁剑绕过特征流量
由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x.....=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。
整进去以后,我们发现好像是一串代码。
然后我们访问网站
通过这个可以看出来,这个网站是将左边的源码加密成右边的,所以我们尝试给他解密
在网上找解密的工具,然后用了好多发现都没有成功干出来,最接近的一个工具是Create phpjiami_decode.tar.gz · Y4tacker/CTFBackup@815e4df用它整了一个解密脚本
然后我们继续观察流量,对TCP流进行观察,一遍一遍的试,发现第34个tcp流里面出现了东西
开头的ant让我们想到了是蚁剑,然后第二个应该就是传的东西,这个流量分析没有分段,间隔符是以&为段的,然后我们给他分段,用的赛博厨子
然后我们拿到了第二段传的东西
yLxWGRCHJBEhtpnW7XTEjZa8U06pkFvEqTea5ISI%2FLggnmMXPblFZ6sDNJHoym6I0CkQIYr62%2B8sauFSYOHtPEpFX62kBmMAxi7abHOzQl5FAf2VO5wiezcXRp5nLDfqHCLa0Y8T9kaplu81yXLzXtlhZYgrqMtDsFROJ%2BZKNN0%3D
解密拿到
然后base64解密拿到flag
NSSCTF刷题(流量分析类)
3.[CISCN 2022 初赛]ez_usb
拿到手里的是一个usb流量分析
因为是键鼠流量,所以我们先直接过滤8字节长度流量包
使用指令
usb.data_len ==8
这样子过滤出来发现来源只有两个,分别是2.8.1和2.10.1
将这两个分别导出来
这样子导出来,然后放到kali里面用脚本去跑,两个分别用这个脚本去跑
第一个这个5261开头的是一个rar文件头,所以我们想到他是个压缩包,把他给导出来,删去没用的
注意粘贴的时候用ctrl+shift+v直接把16进制搞进去
然后发现有密码,那第二个解密应该就是密码了
解密后拿到flag
本题也可以用wireshark的tshark功能啊,也是先把流量包导出来
然后用指令
导出来
在用脚本置换键盘明文
但是这里出现了问题,脚本始终解不出来,不知道问题出在哪里,还是先用第一种做法吧。
4.[CISCN 2023 初赛]被加密的生产流量
到手是一个流量分析,我们打开看了一眼
protocol里面有一种modbus,而且他都是和tcp成对的,我去搜了一下modbus流量
再结合题目描述,我们就应该分析这种流量了
我们直接给他追踪,但是发现他只能追踪TCP流,我们看了一下,一共有14个流,挨个看了一下,发现就第一个有用
粉色最后两位有点像base32加密,我们提出来去base32解密一下
5.[CISCN 2021初赛]robot
拿到手里是有三个东西,发现一个流量包,我们直接去搜
过滤TCP
发现就只有三个,第一个里面发现了坐标
使用脚本把坐标提取出来
然后使用脚本绘图
最后拿到这个以后去转md5
d4f1fb80bc11ffd722861367747c0f10拿到flag
6.[CISCN 2021初赛]tiny traffic
拿到手以后是一个流量包,用wireshark打开后
在导出对象中查看HTTP列表,发现了可以的flag字样
分别是gzip和br文件,我们把他都出来看一下
flag_wrapper解压出来是这个
是一个flag的头部
解压test拿到一个脚本类的东西
搜搜proto3
所以我们猜测secret就是test序列化出来的东西,我们要给他反序列化
从网上找到的proto3的环境
安装之后将test改为,test.proto放入bin文件夹下,然后此文件cmd
输入代码.\protoc.exe --python_out=. test.proto
会得到一个py文件
安装的环境一定要版本高,第一次安了一个低版本的,发现编译出来的test_pb2.py不能使用
后来又换了一个版本高的
然后把secret也放到该文件夹下面,从网上找了一个脚本然后编译
注意这个脚本一定要和上面得到的test_pb2.py和secret放到一个文件夹下面
然后运行拿到结果
将15100450十六进制一下,16453958也十六进制一下,在和其他部分拼接起来拿到flag
最后拼接,加上前面的那个头
CISCN{e66a227af2ce234582bc07889b0fb11146d172a38dc}