[LitCTF 2023]easy_shark
下载附件发现是一个压缩包,解压发现是要密码的,但是使用ARCHPR这个工具进行密码爆破发现爆破不成功
将压缩包放到winhex中发现是伪加密
将上面的00 09改为00 00,保存,解压,是一个pcapng文件,使用wiredhark,打开文件,先是过滤http,然后查找flag字符,发现89afeflag{1ook_th1s_1s_76ke_f1ag}
30b9fflag{1ook_th1s_1s_76ke_f1ag}
这几个尝试了发现是假的flag,继续找,
发现gezx{j13p5oznp_1t_z_900y_k3z771h_k001}上面还有一个方程(x^2-x**2)+(x-17)(x-77)=0,一个是17,一个是77,这有一串字符串两个数字,让人联想到了 放射Affine密码
flag{w13e5hake_1s_a_900d_t3a771c_t001}
输入flag,返回错误
返回到题目首页
发现flag_后面还要有木马连接的key
返回到wireshark中,过滤http,一般的木马文件是mm.php文件,所以我就在查找字符处输入mm.php发现了一句话木马,它的连接key是a
所以flag是NSSCTF{w13e5hake_1s_a_900d_t3a771c_t001_a}
知识点:
伪加密:
无加密:
压缩源文件数据区的全局方式位标记应当为00 00 (50 4B 03 04 14 00 后)
且压缩源文件目录区的全局方式位标记应当为00 00 (50 4B 01 02 14 00 后)
伪加密:
压缩源文件数据区的全局方式位标记应当为 00 00 (50 4B 03 04 14 00 后)
且压缩源文件目录区的全局方式位标记应当为 09 00 (50 4B 01 02 14 00 后)
题目中的是50 4B 03 04 14 00后面是09,将09改为00就是无加密
查找一句话木马,主要是HTTP的协议,所以为了更具体的找出攻击者做了哪些操作,首先筛选出POST关键字(用户登录以及上传文件都需要用到POST表单)筛选语句是:http.request.method==“POST”
一般上传一句话木马会使用mm.php或shell.php做为文件名,但是我做的流量题比较少,所以这只是一个简单的查找一句话木马的判断,肯定会有其他判断的方法,等我遇到会写上
