BUUCTF 菜刀666 1

BUUCTF:https://buuoj.cn/challenges
BUUCTF 菜刀666 1_第1张图片

题目描述:
流量分析,你能找到flag吗 注意:得到的 flag 请包上 flag{} 提交

密文:
下载附件,解压得到一个.pcapng文件。
在这里插入图片描述


解题思路:
1、双击文件,打开wireshark。根据题目提示,我们过滤出POST数据包。(菜刀一般使用POST上传)

http.request.method==POST

BUUCTF 菜刀666 1_第2张图片
简单看了几个数据包之后,发现有个数据包不太正常。

BUUCTF 菜刀666 1_第3张图片
追踪流看一下,发现和前面几个数据包不同,有很长一串16进制字符串。
BUUCTF 菜刀666 1_第4张图片

2、找到z1后面的字符串,通过Base64编码转换为明文信息,猜测z2对应的这串16进制字符串是一张jpg文件的数据。

BUUCTF 菜刀666 1_第5张图片

BUUCTF 菜刀666 1_第6张图片

通过z2的文件头“FF D8”和文件结尾“FF D9”也可以确定这是一张jpg图片。

JPEG (jpg)
文件头:FF D8 FF                        
文件尾:FF D9

新建一个txt文件,将z2的16进制数据复制到txt文本中,保存。在010 Editor中,使用“文件”选项卡的“导入16进制文件”选项,导入刚才新建的txt文件。

BUUCTF 菜刀666 1_第7张图片
BUUCTF 菜刀666 1_第8张图片
保存为.jpg文件,打开图片,得到一个字符串,但不是flag。(提示我们这是密码)

BUUCTF 菜刀666 1_第9张图片

Th1s_1s_p4sswd_!!!

3、回Wireshark接着看之前的数据包,在下面找到一个zip压缩包,又在倒数第二个数据包的追踪流中,找到pk标识,确认该pcapng文件内有一个zip压缩包。(wireshark 截取的流量中,会截取文件传输对应的流量,也就是说,这个pcapng文件将包括 zip压缩包)

BUUCTF 菜刀666 1_第10张图片
BUUCTF 菜刀666 1_第11张图片

使用Kali中的foremost工具,将zip压缩包从pcapng文件中提取出来。

BUUCTF 菜刀666 1_第12张图片

尝试解压压缩包,需要密码,想起来之前拿到的密码,使用密码解压,得到flag.txt文件。打开拿到flag。

BUUCTF 菜刀666 1_第13张图片

BUUCTF 菜刀666 1_第14张图片

flag:

flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z} 

你可能感兴趣的:(BUUCTF,MISC,MISC,安全,网络安全,笔记,CTF,BUUCTF)