实训任务1 FTPASS
题目要求:密码在哪里?
提示1:巧用追踪流
提示2:找到FTP密码即可
结果为:cdts3500
解题过程:
- 首先我们将压缩包解压并打开里边的文件后发现是一个流量包,过滤出FTP包后分析其中的数据,我们发现了用户名和密码
- 追踪tcp流,发现了登录的账号和密码。
实训任务2 数据包中的线索
公安机关近期截获到某网络犯罪团伙在线交流的数据包,但无法分析出具体的交流内容,聪明的你能帮公安机关找到线索吗?
提示1:追踪与获取文件有关的HTTP报文
提示2:文件内容的编码
提示3:转码网站:the-x.cn
提示4:结果为flag{209acebf6324a09671abc31c869de72c}
解题过程:
- 解压并打开文件后发现是一个流量包,为了得到在线交流的数据,首先过滤出HTTP报文,然后分析数据,发现最后一个报文中出现了text/html,判断与聊天数据有关。
- 追踪http流,得到了信息,但是是一段使用base64加密的数据。
- 使用网站对该数据进行解密,解密后发现是个JPG文件,打开该文件后得到了结果。
实训任务3 被嗅探的流量
某黑客潜入到某公司内网通过嗅探抓取了一段文件传输的数据,该数据也被该公司截获,你能帮该公司分析他抓取的到底是什么文件的数据吗?
提示1:HTTP流量
提示2:追踪上传文件相关的痕迹(POST请求)找到flag
提示3:结果为flag{da73d88936010da1eeeb36e945ec4b97}
解题过程:
- 解压并打开文件发现是一个流量包,首先我们判断出文件传输使用的是http协议或者ftp协议,过滤ftp包后并没有内容,因此判断是http报文,过滤后我们分析其中的数据。
- 从中找到与上传文件有关的痕迹,其中有两个POST请求,第二个POST请求和上传文件相关,追踪http流,在里面发现了结果。
实训任务4 大白
看不到图? 是不是屏幕太小了。
提示1:图显示不全
提示2:如何修改图片大小显示出隐藏的部分?(winhex软件)
提示3:结果为flag{He1l0_ _d4_ _ba1}
解题过程:
- 解压压缩包后发现里面只有一张图片,但是这个图片很明显少下边的半部分,首先判断突破口是不是截取的图片下半部分。
- 我们使用winhex工具来恢复图片,并分析里边的数据。
- 在整个图片的16进制数据中,找到表示宽和高的数据,将图像高度的数据增加到000001FF,保存成功后再次打开图片,便能看到最终的答案。
实训任务5秘密藏在了哪里?
RT。
提示1:压缩包注释信息是真正的压缩包(但数据有损坏)
提示2:如何根据压缩文件的头尾特征修复损坏的数据?(Hxd软件)
提示3:保存为文件后解压。
结果为:flag{c75af4251e0afde2fc62e0a76d856774}
解题过程:
- 我们将该压缩包解压后,发现里边仍然是一个压缩包,该压缩包里面的文件是wrongflag.txt,没有任何线索,但是与其他压缩包不同的是右边的注释。
- 注释的最下面是一串十六进制的编码,发现编码的头部和压缩文件zip的首部一致,因此判断是不是一个压缩包的数据。
- 在HxD工具中复制此代码,保存好后打开,发现确实是一个压缩包,但显示解压后的文件被损坏。
- 回到HxD工具,分析这段压缩包数据,看到压缩源文件数据区开始50 4B 03 04是头文件标记,14 00是解压文件所需 pkware 版本,00 00是扩展记录长度,01 00是全局方式位标记(有无标记),01是加密标记,确认第一位改成任意偶数即可。.
- 继续查看压缩源文件目录结束标志尾部,50 4B 05 06是目录结束标记,第一个00 00是当前磁盘编号,第二个00 00是目录区开始磁盘编号,01 00是同样为加密位修改成和全局方式标记位相同偶数即可。
- 再次打开压缩包并解压文件,发现可以正常显示结果。
实训任务6小明的保险箱
小明有一个保险箱,里面珍藏了小明的日记本,他记录了什么秘密呢?告诉你,其实保险箱的密码是小明的银行密码。
提示1:winhex打开,查看图片中是否包含zip、rar(通过文件头判断)等文件?
提示2:修改图片后缀得到加密压缩包
提示3:密码是小明的银行卡密码(有什么特征?),压缩包密码爆破(AAPR工具)。
结果为:flag{75a3d68bf071ee188c418ea6cf0bb043}
解题过程:
- 解压并打开文件,发现是一张图片,并且图片宽度和高度很合适,打开winhex工具分析此图片的数据。
- 在尾部发现了和rar压缩文件数据头相同的数据,除此判断是一个rar压缩包,新建一个文件,复制尾部的数据后将文件保存为rar格式,发现确实是一个可以打开的压缩包。
- 打开后,里面有一个txt文件,但是需要输入密码解压,根据提示,是小明的银行卡密码,所以判断是数字组成的,使用暴力破解工具(AAPR)进行破解,20s得到了解压的密码:7869。
- 输入密码后打开文件得到了结果
实训任务7 刷新过的图片
提示1:图片 F5 隐写解密(https://github.com/matthewgao/F5-steganography)
提示2:zip 伪加密,如何修复被改动的数据?(010 editor工具)
提示3:结果为flag{96efd0a2037d06f34199e921079778ee}
结果为:
解题过程:
- 解压文件并打开发现是一张图片,并且根据该题目名称分析,该题与刷新(F5)有关,是F5隐写,使用工具F5-steganography,运行后得到了如下结果:
- 使用HxD分析output.txt文件,发现数据头和zip文件的数据头一致,判断该文件是一个zip文件,更改文件类型后打开该压缩包,发现解压时需要密码。
- 使用暴力破解软件(AAPR)并没有得到结果,因此判断这是一个伪加密文件。
- 我们使用HxD分析该压缩包的数据,将该位置的01变为00后保存文件,此时已经可以解压,打开以后得到了最终的答案。
实训任务8 so easy
结果为:flag{870c5a72806115cb5439345d8b014396}
解题过程:
1.该题文件是一个压缩包,打开之后发现里面有一张图片,右击打开属性,在详细信息中发现了结果。
实训任务9 让暴风雨猛烈吧
结果为:flag{70354300a5100ba78068805661b93a5c}
解题过程:
- 将该压缩包解压时发现需要输入密码,根据题目名称首先想到了暴力破解,使用暴力破解工具(PPAR)进行破解,得到了解压密码为:2563
- 解压之后打开该文件,显示的一串数据末尾是’=’,判断是使用base64编码后的数据,使用解码工具进行解码,得到了最终的结果。
实训任务10 biubiu
结果为:flag{stego_is_s0_bor1ing}
解题过程:
- 解压该文件后,是一张图片,打开图片并没有找到实用的信息。
- 使用HxD工具对该图片进行分析,找对应的文本,发现在末尾就是该题的答案。
实训任务11 被窃取的文件(被偷盗的文件)
结果为:.flag{6fe99a5d03fb01f833ec3caa80358fa3}
解题过程:
- 解压并打开文件,发现是一个数据包,根据题目名称,与文件有关,从中过滤出ftp,
发现了一个和flag相关的压缩包
2.导出该压缩包
3.,打开之后发现需要密码才能解压,使用暴力破解工具(PPAR),破解后得到解压到密码:5790,解压之后得到最后的结果。