IDF实验室：保罗万象--抓到一只苍蝇

阅读目录 

• 题目
• 开始分析
• 寻找附件数据
• 还原附件数据
• 处理还原的数据附件
• 再次寻找附件数据

 

题目

题目给出的网盘链接，点击进入将文件下载到本地，文件名 "misc_fly.pcapng"， 这 是一个抓包软件抓取的数据包

回到顶部

开始分析

使用wireshark分析数据包

• 打开数据包，发现基本上都是TCP的包和HTTP。其他底层的数据先不管，注意力放在应用层上

• 在这个数据包里面应用层的协议只有HTTP、DNS，过滤HTTP的包进一步的分析

• 从数据包发现都发往 http://set2.mail.qq.com 这里可以知道是qq邮箱的地址
• 观察第一个请求

• POST了一段这样的JSON

1. {
    "path":"fly.rar",
    "appid":"",
    "size":525701,
    "md5":"e023afa4f6579db5becda8fe7861c2d3",
    "sha":"ecccba7aea1d482684374b22e2e7abad2ba86749",
    "sha3":""
   }

• 目标的url地址

• 在Post提交中和目标URL地址中，这应该是一个上传文件的操作，文件名为fly.rar，文件大小为525701Bytes
• 然后过滤全部POST请求数据包

• 点击倒数第二个包可以看到的内容是

• 现在可以确定

1. 数据包的内容：一封带附件的邮件
   发件人：[email protected]
   收件人：[email protected]
   附件：fly.rar
   附件大小：525701Bytes

• 已经确定有一封附件数据，接下来寻找附件数据

回到顶部

寻找附件数据

• 上面中已经说到第一个请求向服务器POST附件信息，后面就应该是上传，接着数据包推断第二个2和6个，共5个数据包应为附件数据
• 在这5个数据的附件数据里面查看Media Type域大小
  

• 5个数据包的附件数据Media Type域大小以此为

1. 131436 Bytes
   131436 Bytes
   131436 Bytes
   131436 Bytes
   1777 Bytes

1. 131436+131436+131436+131436+1777=527521Bytes

合计527521 Bytes，原附件大小525701 Bytes

回到顶部

还原附件数据

• 观察5个包Media Type域的内容，前面一部分内容是相同的，那么这一部分是通信时需要的头部内容，并不是附件本身的内容，通过计算将多余的数据去除

已知：
附件被分成5个部分
5个子部分合计大小为527521Bytes
附件原大小为525701Bytes

求：
每个子部分头部多余的数据
合计大小527521Bytes-原附件大小525701Bytes/5个数据包=364Bytes

• 将五个数据包的Media Type域以此从上到下分别导出为二进制文件

• 使用dd命令将上面算出来的 364 Bytes 移除

• 将移除后的文件合并成rar压缩包并查看Md5值

• 而在第一步中的POST数据为

1. {
    "path":"fly.rar",
    "appid":"",
    "size":525701,
    "md5":"e023afa4f6579db5becda8fe7861c2d3",
    "sha":"ecccba7aea1d482684374b22e2e7abad2ba86749",
    "sha3":""
   }

• Md5值完全一致，说明这里已经由网络包还原出了附件文件 fly.rar 。哈哈~~~

回到顶部

处理还原的数据附件

解压rar..... 本以为到这里就完成了，没想到压缩包解压失败

继续分析,首先上面中的MD5值是完全一样的，说明包是没有损坏的可能

网上搜索了一下，结果说是压缩包有一个伪加密技术

将压缩包用16工具进制打开，（可用hex图形工具）

 以二进制打开

 以十六进制显示

• 将84修改为80

• 修改文件后，:xxd -r 退回二进制，然后退出并保存

• 成功得到文件 flag.txt

回到顶部

再次寻找附件数据

• 我以为有答案了，^_^ ... 打开flag.txt文件又是一个二进制文件
• 这是一个win32的程序，发到windows上运行，果然是蚊子

这并没有什么用呀，先把题目给解出来了吧

继续分析flag.txt文件，以十六进制显示，搜索TXT、RAR、PNG、JPG、JEPG

在搜索PNG的时候发现文件末尾有一个含有PNG的

将这段给提取出来保存为PNG文件

 

• 用手机扫一扫,结果得到密码

上面题目中 

提交密码 ： wctf{m1Sc_oxO2_Fly}

回到顶部