IDF-抓到一只苍蝇

文件地址： http://pan.baidu.com/s/1bnGWbqJ
提取码：oe6w
1.下载文件misc_fly .pcapng，如果安装了Wireshark，则会自动打开该文件，目标web协议：HTTP。

看到里面有POST行为，对此再进行进一步分析：
http.request.method==POST (此处是POST不是”POST”)

可看到上传文件的各内容
{“path”:”fly.rar”,”appid”:”“,”size”:525701,”
md5”:”e023afa4f6579db5becda8fe7861c2d3”,
“sha”:”ecccba7aea1d482684374b22e2e7abad2ba86749”,”sha3”:”“}
应该是上传一个压缩文件，而且给出了文件大小和md5值，
这里应该存在对文件完整性校验的小问题。

2.找出上传的文件
对比POST行为，查看每个包，分两种类型。

2-6包 ：Media Type域:application/octet-stream （bytes）八进制数据流
(131436*4 + 1777 =527521) > 525701
对比查看这几个包

发现头部信息存在相同部分，多于的部分需要去掉，其大小如下
（527521-525701）/ 4 =364

3 使用Wireshark自带的功能导出Media Type的内容，导出的文件分别为1,2,3,4,5：
Wireshark——file——Export Selected Packet Byres
（选中Media type域才能导出，个别软件版本若没有这个功能，尝试其他版本）

4 dd命令移除多余部分（文件位置很重要，否则提示找不到文件夹或目录）
dd if=1 bs=1 skip=364 of=1.1
dd if=2 bs=1 skip=364 of=2.1
dd if=3 bs=1 skip=364 of=3.1
dd if=4 bs=1 skip=364 of=4.1
dd if=5 bs=1 skip=364 of=5.1

cat命令整合文件成fly.rar

检查完整性:md5sum fly.ra(与上传文件的md5一致，正确)

5.解压fly.rar

解压有问题，显示头文件损坏。
到这里是一个阶段。查看提示是伪加密，这是一个未加密过的rar文件。
看到网上的解题方法是将文件开头处0x74位后面的0x84位置改为0x80（原理待续）。

解压后获得fly.txt，打开是一堆编码，乱码，还有提示This program must be run under Win32，
改为.exe格式，运行，桌面有几只苍蝇转来转去

6.在Linux下用binwalk命令查看，发现有png格式内容

7.提取png（fly.txt 最下查找到PNG格式内容）

另存为png，是一张二维码图，扫描，出现结果。（注意png内容的选择范围，从png行直至结束部分）

(在win和Linux下各种切换)