小蓝同学的加密压缩包因误删无法访问,通过Wireshark分析网络流量发现PK开头的字符串,推测为ZIP文件。解压时遇到密码,通过掩码攻击找到弱口令,最终使用ARCHPR成功解密。经验教训是仔细观察题目线索,避免不必要的方向搜索。
题目
本题分值:500分 类型:Misc
题目名称:ZIP
题目描述:小蓝同学有一个加密的压缩包,里面藏着一些秘密,他把它上传到了一个网站上。但是之后不小心把本地的文件删除了,他想重新下载它,可却再也访问不了那网站。万幸的是,他用wireshark记录了他之前下载压缩包的网络流量,并把它保存下来了。你能帮他从流量中恢复出压缩包吗?
思路
我们打开流量包,开启http的TCP的追踪流,我们发现一下内容:
我们发现以PK开头的字符串,我们知道这个可能是zip解压文件,我们将此导出,改后缀名为zip。
过程
我们解压该文件的时候发现有密码,通过观察文件内容最后有ChunQiu\d{4}。我们猜测这是一个掩码,后面是由4位组成的弱口令。所以我们使用ARCHPR进行爆破,最后得到口令。
注意:掩码攻击格式为:ChunQiu0000---ChunQiu9999
结果
flag{48a4b6f1-7812-417b-9e1f-e17450ef0c43}
感想
我当时在做的的时候没有仔细想最后的字段,而是找流量包其他地方:比如UDP的一些追踪流。其实这并不相关,还是要对题目现有的提示仔细观察,大胆猜测。这样学习CTF才会入门加快。
扫一扫
1248
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
