IDF-抓到一只苍蝇

文件地址: http://pan.baidu.com/s/1bnGWbqJ
提取码:oe6w
1.下载文件misc_fly .pcapng,如果安装了Wireshark,则会自动打开该文件,目标web协议:HTTP。
IDF-抓到一只苍蝇_第1张图片
看到里面有POST行为,对此再进行进一步分析:
http.request.method==POST (此处是POST不是”POST”)

IDF-抓到一只苍蝇_第2张图片

可看到上传文件的各内容
{“path”:”fly.rar”,”appid”:”“,”size”:525701,”
md5”:”e023afa4f6579db5becda8fe7861c2d3”,
“sha”:”ecccba7aea1d482684374b22e2e7abad2ba86749”,”sha3”:”“}
应该是上传一个压缩文件,而且给出了文件大小和md5值,
这里应该存在对文件完整性校验的小问题。

2.找出上传的文件
对比POST行为,查看每个包,分两种类型。

IDF-抓到一只苍蝇_第3张图片

2-6包 :Media Type域:application/octet-stream (bytes)八进制数据流
(131436*4 + 1777 =527521) > 525701
对比查看这几个包

IDF-抓到一只苍蝇_第4张图片

发现头部信息存在相同部分,多于的部分需要去掉,其大小如下
(527521-525701)/ 4 =364

3 使用Wireshark自带的功能导出Media Type的内容,导出的文件分别为1,2,3,4,5:
Wireshark——file——Export Selected Packet Byres
(选中Media type域才能导出,个别软件版本若没有这个功能,尝试其他版本)

IDF-抓到一只苍蝇_第5张图片
IDF-抓到一只苍蝇_第6张图片

4 dd命令移除多余部分(文件位置很重要,否则提示找不到文件夹或目录)
dd if=1 bs=1 skip=364 of=1.1
dd if=2 bs=1 skip=364 of=2.1
dd if=3 bs=1 skip=364 of=3.1
dd if=4 bs=1 skip=364 of=4.1
dd if=5 bs=1 skip=364 of=5.1
IDF-抓到一只苍蝇_第7张图片

cat命令整合文件成fly.rar
IDF-抓到一只苍蝇_第8张图片

检查完整性:md5sum fly.ra(与上传文件的md5一致,正确)
这里写图片描述

5.解压fly.rar
IDF-抓到一只苍蝇_第9张图片

解压有问题,显示头文件损坏。
到这里是一个阶段。查看提示是伪加密,这是一个未加密过的rar文件。
看到网上的解题方法是将文件开头处0x74位后面的0x84位置改为0x80(原理待续)。

IDF-抓到一只苍蝇_第10张图片

解压后获得fly.txt,打开是一堆编码,乱码,还有提示This program must be run under Win32,
改为.exe格式,运行,桌面有几只苍蝇转来转去

6.在Linux下用binwalk命令查看,发现有png格式内容
IDF-抓到一只苍蝇_第11张图片

7.提取png(fly.txt 最下查找到PNG格式内容)
IDF-抓到一只苍蝇_第12张图片

另存为png,是一张二维码图,扫描,出现结果。(注意png内容的选择范围,从png行直至结束部分)
IDF-抓到一只苍蝇_第13张图片

(在win和Linux下各种切换)

你可能感兴趣的:(IDF-抓到一只苍蝇)