[HUBUCTF 2022 新生赛]messy_traffic
追踪TCP流发现flag.zip,其实可以直接kali foremost出来
发现压缩包有密码,接着追踪,在流7中找到password
[CISCN 2022 初赛]ez_usb
wiresahrk打开流量包,直接usb.data_len==8筛选
发现来源2.8.1 和 2.10.1
筛选地址usb.addr==2.8.1 usb.addr==2.10.1 分别导出特定分组
得到2.8.1.pcapng 2.10.1pcapng
使用knm 或 UsbKeyboardDataHacker提取
值得一提的是不知道为什么如果使用knm提取
python3 knm.py pca -i 2.8.1.pcapng -o 2.8.1.txt
得到的2.8.1.txt结尾处多一个空行,键盘流量脚本跑完得到的结果多一个字符
结果hex解密之后是一个加密的压缩包文件
解密提取2.10.1.txt之后得到密码
解开压缩包得到flag
[蓝帽杯 2022 初赛]domainhacker
追踪TCP流一共十六个,都很有特点,“ini_set”为蚁剑的特点
导出全部HTTP对象能得到15流中的压缩包1.txt
URL解码13流
发现结尾处的base64编码要舍弃前两位
解码得到压缩包密码,解压得到flag
[安洵杯 2019]Attack
foremost 提出一个压缩包,需要密码
导出所有HTTP得到lsass.dmp
使用工具mimikatz
1.dmp文件:win错误转储文件,当蓝屏时保存当前内存数据以便排查原因。保存的数据包括用户账密。【保存案发现场】
2.mimikatz:一个轻量型调试工具,能够获取win系统用户密码,渗透测试常用工具。
导出dmp文件中的明文密码
将lsass.dmp放在mimikatz同一目录,读取密码文件:
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full
得到密码解开压缩包得到flag
[OtterCTF 2018]What the password?
先用imageinfo查看版本
然后用lsadump提取密码
[OtterCTF 2018]What the password?
volatility imageinfo 查看版本
lsadump
[OtterCTF 2018]General Info
mimikatz得到主机名WIN-L06FAF3DTFE及用户名 Rick
netscan得到IP 192.168.202.131
[OtterCTF 2018]Play Time
pslist查看所有进程
找到游戏LunarMS.exe
PID为708
netscan 加上grep 708筛选得到ip地址
[OtterCTF 2018]Silly Rick
clipboard
[OtterCTF 2018]Name Game
memdump出游戏进程
借grep筛选
strings 708.dmp | grep "Lunar-3" -A 10 -B 10
[OtterCTF 2018]Hide And Seek
要找到一个恶意软件
用pstree查看所有进程的父子关系
·代表父级进程
··代表子级进程
vmware-tray.exe的父级进程是Rick And Morty 很值得怀疑
用cmdline追踪发现果然不是正常的vmware进程
[OtterCTF 2018]Name Game 2
引用Ananda 和 randark两位师傅的WP
From a little research we found that the username of the logged on character is always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} 1 2 What's rick's character's name?
通过一项小研究,我们发现登录字符的用户名总是在这个签名之后:0x64 0x??{6-8}0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} 3 4 瑞克的角色叫什么名字?
在linux下,xxd
指令可以打印文件的hexdump信息,故借此筛选特定信息的位置
xxd 708.dmp | grep "5a0c 0000"
直接用010检索会出现185个,但大多数是乱码,第21个就找到了
[OtterCTF 2018]Path To Glory
参考randark师傅
恶意软件有可能是通过种子下载下来的,那么就去寻找种子文件
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 filescan | grep "Rick And Morty"
将种子文件提取出来,并查看里面的信息
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007dae9350 -D ./考虑到可能其中夹带有有用信息,直接用strings
进行筛选
[OtterCTF 2018]Path To Glory 2
按照恶意软件进入的方式继续搜索
之前有看到很多chrome的进程,种子是通过chrome下载的,dump chrome 的进程
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -n chrome.exe -D ./
通过strings 一条条检索
strings 3924.dmp |grep 'Rick And Morty' -C 10
确实辨认不出flag
[OtterCTF 2018]Bit 4 Bit
先把那个恶意进程procdump下来
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 procdump -p 3720 -D ./
IDA打开找到
[OtterCTF 2018]Graphic's For The Weak
foremost 恶意进程提出图片
[OtterCTF 2018]Recovery
标题逆向,把恶意进程的exe放进ida分析,可以看出和userName-computerName有关
放进dnSpy中看的更明白,computerName-userName
strings -el 3720.dmp | grep 'WIN-LO6FAF3DTFE-Rick' -C 10
[OtterCTF 2018]Closure
查看一下桌面文件,实际上做题过程中已经在很多地方见过flag.txt这个文件了
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 filescan | grep 'Desktop'
了解一下hiddentear的解密方式
用hidden-tear-decrypto工具密码是之前获取过的aDOBofVYUNVnmp7
(挺魔幻的,只要给密码就全局解密了)
#总算是把Otter做完了
[NSSRound#1 Basic]cut_into_thirds
imageinfo
pslist底下这几个进程都很可疑
memdump之后foremost得到part1
procdump然后strings得到part2
mimikatz得到part3
[闽盾杯 2021]日志分析
url解码之后一眼布尔盲注
返回值675 = TRUE
返回值678 = FALSE
BUUCTF:蜘蛛侠呀
所有流后面都有一个类似于base64字符串的东西
tshark提取
tshark -r out.pcap -T fields -e data > data.txt
去重
with open('data.txt', 'r') as file:
res_list = []
lines = file.readlines()
print('[+]去重之前一共{0}行'.format(len(lines)))
print('[+]开始去重,请稍等.....')
for i in lines:
if i not in res_list:
res_list.append(i)
print('[+]去重后一共{0}行'.format(len(res_list)))
print(res_list)
with open('out.txt', 'w') as new_file:
for j in res_list:
new_file.write(j)
得到的数字hex 结果就是流量后面跟的内容
去掉首位两行和$$START$$
base64解码,以字节流形式写入zip
import base64
b64_str = open(r"C:\Users\abc\Desktop\.idea\out.txt").read()
byte_stream = base64.b64decode(b64_str)
open('flag.zip','wb').write(byte_stream)
打开得到gif图片
时间隐写,kali下 identify -format "%T" flag.gif
2050502050502050205020202050202020205050205020502050205050505050202050502020205020505050205020206666
忽略最后的6666,20替换成0,50替换成1
二进制转字符