题目
今天我们来看这样一道题:
本题分值:500分 类型:Misc
题目名称:warning
题目描述:在小蓝进行应急响应期间,他发现了一些可疑的 DNS 外带流量,这引起了他的关注。经过进一步分析,他怀疑这些流量中隐藏了一些敏感信息或者用于隐蔽通信的数据。
分析
我们打开是一个流量包,其中看到有很多DNS流量,我们可以根据这篇文章dns隧道攻击原理及常用工具流量分析 - Highness_DragonFly - 博客园 (cnblogs.com)
所提到的原理解析,我们追踪该流量的UDP流,发现以下信息:
k............504b0304140001.ichunqiu.com.......)........k............504b0304140001.ichunqiu.com..............!.+.ns1.cyudun.net..mail.=.......X......u.......)........
可知这是zip文件头,我们可以断定这是DNS特有的隐藏加密方式。
解题
我们将0到28的序列号的".ichunqiu.com"之前的16进制字符串提取出来,然后构成zip文件。此时我们发现文件是损坏的,此时我们可以用winrar自带的修复模块精选修复,重新打开zip文件但是我们发现有密码,而且没有 提示。此时我猜测可能要字典解码。
所以我用kali自带的rockyou.txt字典破解,果然有了答案:
结果
flag{6cdbc0ca-2416-4d11-96e8-2f39e3e1f66f}