bugkuCTF——社工篇

1、密码

                                                     

 分析：这个是典型的弱口令，猜了一下,KEY是姓名+生日, KEY{zs19970315}

 

2、信息查找

                                         

分析：直接百度bugku群号码，

 

 得出 KEY{462713425}

 

 

3、简单个人信息收集

                                        

分析：先将压缩包下载下来，发现压缩包被加密了，对于这种加密的压缩包，我当时想到就是zip伪加密，后来发现的确就是(嘿嘿嘿，运气有点好)

                                     

直接用winhex打开压缩包，找到后面pk头，              

                            

将最后的09改为00（奇数表示加密，偶数表示未加密）。。。关于zip伪加密，可以参考这篇文章

https://blog.csdn.net/ETF6996/article/details/51946250

 

成功拿到里面的数据

行吧。。原本想找个社工库看看的，但是国内的社工库好像都挂掉了，所以我直接百度那个地址，看别人写的writeup，得到手机号

flag{15206164164}

 

 

4、社工进阶

                                           

 

分析：因为我之前上过bugku的贴吧，所以就知道这个名字，就在bugku的吧里

                                

 

看这情况应该就是要进邮箱找到flag了，他给了个提示弱口令，由于网易有验证码，比较难爆破，所以就只能一个一个试了，直接百度弱口令top100，第二个就是了，a123456，

KEY{sg1H78Si9C0s99Q}

 

 

5、王晓明的日记本

                                       

 

分析：主要思路就是用burp跑字典，直接用bugku的在线工具箱生成密码字典，http://www.bugku.com/mima/

填好信息生成字典保存为txt之后直接导入burp

                   

密码为ADAIR321321.

得出flag{bugku-shegong_xmq}

 

 

 

6、简单的社工尝试

                                         

                                               

 

分析：这题，老实说就是使用搜图吗，百度识图也好，谷歌识图也行，都能找到，通过这只狗最后找到的是孤长离微博中的一张图

                                               

http://c.bugku.com/13211.txt                 打开之后就是 flag{BUku_open_shgcx1}