IDF-抓到一只苍蝇
来源:互联网 发布:当今网络强国有哪些 编辑:程序博客网 时间:2024/04/29 19:56
文件地址: http://pan.baidu.com/s/1bnGWbqJ
提取码:oe6w
1.下载文件misc_fly .pcapng,如果安装了Wireshark,则会自动打开该文件,目标web协议:HTTP。
看到里面有POST行为,对此再进行进一步分析:
http.request.method==POST (此处是POST不是”POST”)
可看到上传文件的各内容
{“path”:”fly.rar”,”appid”:”“,”size”:525701,”
md5”:”e023afa4f6579db5becda8fe7861c2d3”,
“sha”:”ecccba7aea1d482684374b22e2e7abad2ba86749”,”sha3”:”“}
应该是上传一个压缩文件,而且给出了文件大小和md5值,
这里应该存在对文件完整性校验的小问题。
2.找出上传的文件
对比POST行为,查看每个包,分两种类型。
2-6包 :Media Type域:application/octet-stream (bytes)八进制数据流
(131436*4 + 1777 =527521) > 525701
对比查看这几个包
发现头部信息存在相同部分,多于的部分需要去掉,其大小如下
(527521-525701)/ 4 =364
3 使用Wireshark自带的功能导出Media Type的内容,导出的文件分别为1,2,3,4,5:
Wireshark——file——Export Selected Packet Byres
(选中Media type域才能导出,个别软件版本若没有这个功能,尝试其他版本)
4 dd命令移除多余部分(文件位置很重要,否则提示找不到文件夹或目录)
dd if=1 bs=1 skip=364 of=1.1
dd if=2 bs=1 skip=364 of=2.1
dd if=3 bs=1 skip=364 of=3.1
dd if=4 bs=1 skip=364 of=4.1
dd if=5 bs=1 skip=364 of=5.1
cat命令整合文件成fly.rar
检查完整性:md5sum fly.ra(与上传文件的md5一致,正确)
5.解压fly.rar
解压有问题,显示头文件损坏。
到这里是一个阶段。查看提示是伪加密,这是一个未加密过的rar文件。
看到网上的解题方法是将文件开头处0x74位后面的0x84位置改为0x80(原理待续)。
解压后获得fly.txt,打开是一堆编码,乱码,还有提示This program must be run under Win32,
改为.exe格式,运行,桌面有几只苍蝇转来转去
6.在Linux下用binwalk命令查看,发现有png格式内容
7.提取png(fly.txt 最下查找到PNG格式内容)
另存为png,是一张二维码图,扫描,出现结果。(注意png内容的选择范围,从png行直至结束部分)
(在win和Linux下各种切换)
- IDF实验室-抓到一只苍蝇
- IDF-抓到一只苍蝇
- IDF 包罗万象 抓到一只苍蝇
- 抓到一只苍蝇!
- 抓到一只苍蝇 writeup
- CTF之《抓到一只苍蝇》解析
- IDF
- 吃苍蝇
- 吃苍蝇
- 苍蝇眼睛
- 苍蝇的利用价值!
- 像苍蝇那样横冲直撞
- 苍蝇逃生的启迪
- 老虎苍蝇一起打
- 战士与苍蝇
- ctfIDF实验室捉到一只苍蝇
- 【JZOJ5017】拍苍蝇 题解
- 5017. 拍苍蝇
- Spring中的SpEL
- Angularjs 路由之初识
- 1046. Shortest Distance (20)
- WAMP的Apache多域名配置
- C# 计算标准偏差相当于Excel中的STDEV函数
- IDF-抓到一只苍蝇
- 字符串转换数字
- 编程小练习6
- 学霸的迷宫
- matlab五彩多图案3D烟花
- 学习hadoop之路 开始
- win8.1 Theano Anoconda Cuda
- 递归算法——约瑟夫问题
- 数组元素出现次数统计