Bytesctf2021 frequently详解

最新推荐文章于 2021-11-17 20:35:20 发布
最新推荐文章于 2021-11-17 20:35:20 发布
阅读量4.2k 收藏 3
点赞数 6
分类专栏: misc 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47886905/article/details/120899384
版权

frequently

先看的tcp的流,没发现什么东西,然后开始看UDP,在UDP的第一个流发现
image-20211020204517400

得到

se1f_wIth_m1sc^_^}

然后一直往后看,在第68个流发现png的base64加密后的数据

image-20211020204710860

base64解密一下发现

image-20211020204928152

继续往后看发现多个一样的数据,传输图片无疑了。

image-20211020205156775

当时解题时候直接依据这个提取了这部分数据,包括重复的包还有多的包等等(体现了对过滤语句的不熟练)

通过观察可以发现这部分数据的源地址和目的地址都是相同的可以先通过这个过滤

ip.src==10.2.173.238 and ip.dst==8.8.8.8

image-20211020205908580

这样其实能提取大部分的数据包了,但是往下翻能发现。

image-20211020210129579

比赛的时候一并提取了这部分数据,最后发现图片不能显示,所以这部分数据显然不属于图片(看了wp之后瞎bb),所以要再通过过滤器过滤这部分数据,通过观察发现原来的属于png图片的包的长度是一定的。它们的dns.qry.name的长度也是一致的。

所以过滤出这部分数据有两种方式

通过观察发现这部分包的长度都为50

udp.length == 50 and ip.src == 10.2.173.238 and ip.dst==8.8.8.8

或者通过包的名字的长度 dns.qry.name.len

ip.src==10.2.173.238 and ip.dst==8.8.8.8 and dns.qry.name.len==24

通过tshark提取数据,-Y指定过滤器内容,-e指定输出内容

tshark -r .\frequently.pcap -T fields -Y "udp.length == 50 and ip.src == 10.2.173.238 and ip.dst==8.8.8.8" -e dns.qry.name

image-20211021140505411

将内容输出到txt里

tshark -r .\frequently.pcap -T fields -Y "udp.length == 50 and ip.src == 10.2.173.238 and ip.dst==8.8.8.8" -e dns.qry.name > fre.txt

用winodws终端这样输出的话内容为gbk的方式,用python读取的时候会出现编码问题(可以直接粘贴),所以可以用linux终端输出到txt。

这样提取出来的数据转图片还是有问题的,仔细看过滤出来的包

image-20211021165231035

这两个包的dns.id的值相同,所以是同一个包,要对这些包的重复数据再进行一次过滤,参考mochu师傅的脚本

from base64 import *


with open('dns.txt', 'r') as f:
	lines = f.readlines()
# print(lines)
	sorted_lines = sorted(set(lines), key=lines.index)
# print(sorted_lines)
	base64_data = ''
	for line in sorted_lines:
		base64_data += line[:10]

	with open('flag.png', 'wb') as f1:
		f1.write(b64decode(base64_data))
print(base64_data)

这里使用了set来删除重复的数据。得到

image-20211021165444665

但是这张图片没有给我们任何信息,想到过滤的时候还漏掉了一部分数据

image-20211021165648554

类似这个包的名字长度为15的数据,用包的名字长度再过滤下

dns.qry.name.len==15 and  ip.src == 10.2.173.238 and ip.dst==8.8.8.8

image-20211021165935506

然后我们需要做的就是提取这部分数据,里面还是有重复的数据,需要python去重

import re
with open('bin_data.txt','r') as f:
    strings = f.readlines()
    sorted_list = sorted(set(strings), key=strings.index)
    flagstr = ''
    for i in sorted_list:
        # print(type(i[0]))
        
        if i[0] == 'o':
            flagstr += '0'
        else:
            flagstr += '1'
    # print(flagstr)
print(len(flagstr)/8)
dd = re.findall(r'.{8}',flagstr)
print(dd)
flag = ''
for i in dd:
    flag += chr(int(i,2))
print(flag)

The first part of flag: ByteCTF{^_^enJ0y&y0ur

合起来得到

ByteCTF{^_^enJ0y&y0urse1f_wIth_m1sc^_^}

参考链接:https://mochu.blog.csdn.net/article/details/120813077

@Demo
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
西湖论剑2021 MISC部分(LSB,取证)
qq_47168481的博客
11-28 771
这是西湖论剑中的两个题目 LSB改编隐写(YUSA的小秘密) 使用stegsolve打开图片往下翻可以找到部分看不清的flag 根据题目提示,LSB不止RGB,还存在YUV,和上次Bytectf一个题目类似 Hardcore Watermark 然后利用上次比赛的脚本转换一下 from cv2 import * img = cv2.imread('yusa.png') cv_color = cv2.cvtColor(img, cv2.COLOR_BGR2YCrCb) cv2.imwrite('fl
ByteCTF 2021(Crypto部分)
m0_57291352的博客
10-24 722
easyxor 核心加密算法convert就是四个shift,写个逆就行,flag被分为两部分,前半部分用OFB模式加密,后半部分用CBC模式加密,由于CBC模式的缺陷,当我们只考虑最后一块时,将倒数第二块作为iv,凭借flag的格式做判断即可爆破出key,再利用OFB模式的漏洞,结合key与已知的flag格式即可逆推出iv,此时iv和key尽知,直接解密即可 from Crypto.Util.number import bytes_to_long, long_to_bytes from random im
2021ByteCTF题目及附件
NNanfeng
10-18 778
需要的师傅自行下载哦,点个赞吧 hi,这是我用百度网盘分享的内容~复制这段内容打开「百度网盘」APP即可获取  链接:https://pan.baidu.com/s/1CqvAZ9TP93QSqX8aKg4A2Q  提取码:xgk4
2021 bytectf pwn bytezoom
yongbaoii的博客
10-21 875
保护显然是全开的。 是一道C++的pwn题,c++的pwn分析起来十分复杂,关于堆中chunk的各种分配、释放也非常的麻烦,因为各种对象,各种结构体都会涉及到chunk的申请释放。 我们一点一点分析 首先是功能1,create 因为分两个部分,分别是cat dog,但是里面的内容是一样的,我们就以dog为例就好。 其中我们要注意的首先是string这个结构体。 它的规则是首先申请一个chunk内容为0x10大小的chunk,也就是chunk大小是0x20. 如果我们的输入放不下,就释放这个chunk,.
2021Bytectf初赛misc-frequently
qq_43200143的博客
10-20 361
Someone wants to send secret information through a surreptitious channel. Could you intercept their communications? dns隧道 过滤一下dns协议 发现有很多向8.8.8.8请求,然后域名前带有信息,于是过滤一下8.8.8.8 发现这里面有两种,一种是i和o开头的,推测是0和1,另外一种是字符串, 看到最后一个包这里的==,推测是64编码,就可以过滤一下之前所有带字符串的,然后拼接起来,解
SQL.zip_frequently好用吗
最新发布
09-19
这里介绍了数据库中经常使用的SQL语句很实用很方便。
物联1601-刘可-2016002088_frequently7oh_通信_
10-01
通信编程,实现用户间的通信,使用接口完成编写。
code1.zip_frequently4tr_numerical analysis
07-14
一些数值分析里面会用到的小程序,是课程所需
verilog_frequently_asked_questions.rar_Verilog_Frequently_earzoo
09-14
verilog frequently asked questions
TestProject_qtmvc_QT_frequently24u_
09-30
qt实现简单的mvc模型,以及简单的逻辑说明。
2021安全范儿高校挑战赛ByteCTF线上赛部分Writeup
末初的CSDN博客
10-19 1434
文章目录MISC-CheckinMISC-SurveyMISC-HearingNotBelievingMISC-frequentlyWEB-double sqli MISC-Checkin ByteCTF{Empower_Security_Enrich_Life} MISC-Survey ByteCTF{h0p3_y0u_Enjoy_our_ch4ll3n9es!} MISC-HearingNotBelieving hearing.wav使用Audacity打开,查看频谱图在开头发现二维码碎
ByteCTF2021 double sqli详解
Mrs_H的博客
10-20 526
ByteCTF2021–writeup(double sqli) 一.正文 首先,拿到题目之后,访问网站的根目录,可以看到一个链接,点进去之后就网站就会返回一个图片。图片之没什么用的,然后直接访问files目录。 利用nginx配置不当导致的目录跨越漏洞进行利用。访问files…/ 发现可以访问任意目录,然后到/var/lib/clickhouse/access下下载sql文件,有一个SQL文件是可以下载的。 下载之后,用workbench把它打开,查看其中的文件内容。 我们可以看到有一个user_
ByteCTF2021-复现-misc-Hearing is not believing
ookami6497的博客
10-19 1232
里面大佬太强了,我好菜啊 下载附件得到一个hearing.wav文件 先用Audacity打开,查看频谱图,一看这前面是个二维码,拼就完事:画二维码网站(外国的) 先截得清晰一些 注意这是反色过的二维码,建议反色后再照着拼 拼出来的结果 扫描后得到 m4yB3_ ,一看就不全 然后我就不会了,,,后面看大佬的wp才知道后面是用 robot36 解密(和sstv搭配使用,sstv将图片转声音,由喇叭发声,,,,,robot36将声音转图像。。) 用手机装个robot36
ByteCTF之密码题lrlr
qq_33458986的博客
09-10 2566
赛题下载链接:lrlr 下面是这道题的python代码部分: from Crypto.Util.number import getPrime, bytes_to_long, long_to_bytes from Crypto.Cipher import AES import random class lrand: def __init__(self, seed): s...
操作系统作业5
zhousiyu369的博客
06-26 5416
第五章作业 5.1 题目:In Section 5.4, we mentioned that disabling interrupts frequently can affect the system’s clock. Explain why this can occur and how such effects can be minimized. 回答: 时钟以固定的周期时间间隔产...
ctf2021/1/14
u012163017的博客
01-19 336
CTF笔记汇编地址总线功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 汇编 地址总线 寻址能力 : 一个cpu有N根地址线,则可以说这个CPU的地址总线的宽度为N。这样的CPU最多可寻找2的N次方个内存单元。 一个字节是一个内存
2021-CISCN西南赛区线下-misc-stealer
zji
06-07 1859
stealer 题目描述: stealer 那女孩对我说说我是一个小偷(本题flag 格式为 DASCTF{},提交时只需要提交括号中间的字符。flag需小写) hint:MISC-stealer: focus on DNS CRYPTO 知识点 1.DNS后面的base64 2.然后base64转换为图片 解题步骤 参考津门杯 过滤DNS 我们发现重复了,内容重复 然后过滤一遍ip就可以了。 dns and ip.src==172.27.221.13 然后保存csv文件。 去掉无用的字符“Stand
Ubuntu16.04 安装NVIDIA英伟达驱动教程 及常见几种报错Error的解决方案
热门推荐
ZeroZone零域的博客
01-25 13万+
1.安装过程中遇到的一些错误提示与解决方案: 错误1. the distribution-provided pre-install script failed! 这个问题源自nvidia驱动安装包自身的问题,这里我们可以直接点击yes或者continue继续安装 错误2. ERROR: Unable to load the kernel module 'nvidia.ko'. Thi...
*CTF2021_Misc部分wp
qq_49354488的博客
01-21 2142
MISC 签到 签到就是下载一下推特,然后加群就得到flag *CTF{we1c0me_to_the_starCTF2021~} MineGame 下载附件 我们打开exe文件查看一下 发现报错 我们查看一下文本里面内容 # 大体意思就是让我们如果才能运行这个exe,按照txt中给的地址随便下载一个即可,下载完安装就能打开exe文件了 MineGame: Verify that version 9.9 (R2020b) of the MATLAB Runtime is installed.
HECTF2021 WP(部分)
weixin_49764009的博客
11-17 2103
crypto RSA_e_n 维纳攻击 from RSAwienerHacker import hack_RSA import binascii,gmpy2 e=0x14b367bf01efd4dc667b8e62975479c612c96e78f7f1f55242b2973c882ddcb33a65c52174d8ae1273764ce429054ea3f2fdc38ff205443c92ef4198739f05aa11fc10d3fc6ff30c8f5f05a04f43e3d8fc9bfffe916b2

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值