ctfIDF实验室捉到一只苍蝇

抓到一只苍蝇

2015-02-25 12:31:03 作者：admin 295724

---

报告首长！发现一只苍蝇。。

在哪？

here!

卧槽？！好大一坨苍蝇。。

文件地址： http://pan.baidu.com/s/1bnGWbqJ

提取码：oe6w

PS：flag写错了，太麻烦也懒得改了，格式还是wctf{...}，大家明白就好，不要在意这些细节。。

先说一下我对这题的看法，这题实在是出的太好了，在我把各种的东西都做完，兴高采烈在windows下运行时，猝不及防360显示有毒，于是我关了360.然后.....................

就出现了满屏的苍蝇，关键你点一次它就出现几个，真是猝不及防.........还是说思路吧。

首先下载文件后，一看后缀名是pcappng的，数据分析包。果断用wireshark打开。
然后用命令http.request.method==POST选择（为什么要这样，学了wireshark就知道了）

然后观察并且分析第一个请求，看到应该是qq邮箱之间传附件，

然后看后面的数据传输，果然后面连续的5个都是POST的请求，而且收发ip地址都没有变，
我猜想可能是分为5段发出了，然后再看下面的数据内容果然发现了一个fly.rar压缩包。size为525701，后面的md5
主要用于文件传输中，它的目的主要是为了防止文件被篡改，以及验证文件的完整性和文件的版权。md5一出来更加验证了
我之前的想法是传输文件。然后分析2-6包，

5个数据包中的MediaType域的大小各为131436 、131436 、131436 、131436 、1777，共527521，比fly.rar大小525701大1820，多出来的猜想是包头类的信息，平均每个包大364。

然后的思路是先将这5个包导出来，然后合成一个完整的压缩包，再查看里面的数据。

这个步骤要选中media type域然后导出为二进制包。

依次导出5个数据包，

导出的包为

然后将它们的前364个字节去掉，合成为1个压缩包。前364个字节为包头信息。

使用cat命令将它们合成为一个压缩包，

然后再用md5sum验证一下md5值看和wireshark中的md5值一样吗？

一样成功.

这个时候满心欢喜的打开以为flag要出来了，特别高兴，然而出题人给你开了一个玩笑，竟然打不开.......

然后我就懵逼了，这个怎么办，难道是我的思路有错吗？我开始怀疑人生了........
然后想了一下可能是伪加密.....
然后用强大的vim打开


发现乱码


然后用命令:%!xxd 16进制打开



然后将7484改为7480(至于为什么这样改，自己百度)
附上一个链接自己去看。
http://blog.csdn.net/ETF6996/article/details/51946250
然后再用:%!xxd -r保存，退出到乱码界面
再用:wq保存退出。
这些vi命令不懂的自己去百度解决。

然后解压打开一个flag.txt。
这个时候已经看见flag命名的文件了，然后你就长出了一口气，终于做完了。然后事情总不是那么简单的.........................

用vi打开后，发现了这么一句话
This program must be run under Win32




哦，原来这还是个.exe文件.........
于是乎我就把这个文件改为.exe文件去windows下运行了.....
结果360还显示这是个病毒文件，无语了.................
吓得我赶紧关了360
然后我就运行了结果果然是捉到了苍蝇，不是一只，是很多只.......................




做到现在还是没有做出来，已经快要抓狂了。
于是我就把它直接放回到linux下，暴力的使用了foremost结果终于看到了曙光。

foremost使用参考下面链接

http://www.aikaiyuan.com/5800.html

在输出的output目录下终于看到了放在一大堆苍蝇文件中的二维码，
扫之得到flag.






温馨提醒。我的有些命令的是改变了文件路径的，你们使用时要注意。