最近开始迷上了玩CTF,今天遇到一个很狗血的社工题,与其说是社工,但是又搞得很杂,下面我来给大家讲讲这道题目的思路.
题目来源:https://ctf.bugku.com/challenges/detail/id/187.html
注:本文章纯属学习交流,切勿用于违法途径.如有侵权请联系删除.
网站根目录分析
-
首先运行环境,这里看到给了我们一个QQ刷钻的网址.
-
老规矩,既然拿到网址,那就先对他进行目录扫描
2.1 这里咱们扫描到了八个网址,其中有几个包含了文件夹,起初我以为flag就藏在这些根目录的文件夹文件里了,但是看了一下啥都没有.后面我转念一想既然是社工题,总不能没有一点社工的影子吧.
2.2 后面我打开了/admin/logo.php的根目录,发现疑似为网站后台,咱们要的flag可能就藏在后台里.但是我又没有密码,于是我就想这个密码可能就是要通过社工的手段获取.
社工分析
-
原网站通过打开开发者工具看到"下载辅助"这里有一个压缩包附件.这里咱们下载打开.
-
打开后发现这是一个刷钻的app,还要我输入账号密码?!!这里我随意输入后软件弹窗提示我被骗了,综合分析出这是一个钓鱼软件,会把你输入的账号密码传回到骗子邮箱
-
所以一切的一切必须要通过找到骗子的邮箱地址,得到他的账号密码,然后登陆进去通过社工手段得到网站后台的账号和密码,一切就迎刃而解了.
拿取邮箱和后台
-
这里咱们不知道如何获取对方的邮箱地址和密码,但是既然先前输入的账号密码会传入到对方的邮箱,那咱们就可以通过抓取钓鱼app的包来获得.
-
这里咱们打开wireshark开始抓包.
-
这里对wireshark的ip和协议进行过滤,因为一般邮箱的协议都是SMTP,所以对SMTP的包咱们重点分析.
-
这里咱们可以清晰的看到有"user"和"pass"明显就是邮箱地址和密码,这里可以明显发现进行了加密,通过观察发现杂乱无序,盲猜是base64,解码后得到邮箱账户和密码.
-
咱们用Firefox登陆邮箱发现啥也没有???这里看评论才知道是某个NT把题主留下的社工邮件给删了,这里找到原对话分析可知,刷钻后台的账户应该是Mara(这里把大小写都试了一遍是mara),密码应该就是生日20010206.
-
这里果然咱们登陆进后台了,发现flag就藏在网站信息里面为flag{b2733cd1c1ccf97aaf24b7a3da912c0a}
这就是小编今天分享的一道简单的CTF社工题,希望能给大家带来启发,创作不易,希望大家能点点赞和关注.