本文讲述了在陇剑杯SmallSword竞赛中关于蚁剑密码的寻找、攻击者留存值的查找方法以及Flag解密过程,涉及流量包分析、HTTP通信和Exe文件处理技巧。
2023陇剑杯SmallSword
1.介绍&题目
1.连接蚁剑的正确密码
2.攻击者留存的值
3.攻击者下载到的Flag
2.查看基本内容
用WireShark打开流量包还是查看最基本的内容
1.统计中的流量图
2.导出HTTP
这里导出流量包的地方看到后面和info1.php进行了大量的通信,所以大致的恶意流量范围也就确定了,查看info1.php的内容可以印证出来确实是蚁剑交互的流量
2.解答
解答的时候要注意问题,这里问的是自带的后门文件而不是交互的后门文件,要再观察一下。
2.1第一问(蚁剑的密码)
随便观察一个数据包就可以看到的字符串,这里可能不太清楚这个为什么是蚁剑的密码,后面有机会会出个蚁剑的流量包制作来详细分析
答案是6ea280898e404bfabd0ebb702327b19f
2.2第二问(攻击者留存的值)
留存是应该是写入的动作,所以一个接一个的流量包翻找就行了,并且只需要配合URL解码和Base64就能看到全文,没有什么解密的难点,相比于AES的JSP
已经是简单了一个难度。这里是在TCP流的142包中找到。
答案是ad6269b7-3ce2-4ae8-b97f-f259515e7a91
2.3第三问(攻击者下载得到的Flag)
这里可以看到有非常大的一个流量包,但是这么看来也看不出个所以然,所以将数据解密
解密之后通过流量包观察其实就是去查看了一个Exe文件的内容,如果对标头敏感的可以知道MZ是EXE文件的标识头,
这里有个exe文件,将其数据裁剪出来(其实就是复制粘贴,但是如果直接导出可能会有损失,所以最好使用原始数据)
剩下的步骤很简单,将其修补完成后,发现是exe文件,然后执行,会多出来个图片。
图片本身是jpg后缀,但是实际上是PNG文件,简单的修改宽高即可。
得到答案
3.总结
这道题前期来说比较简单,但是最后一文的Flag可能有点跳脱,但是整体的流量还是比较容易分析的,exe的开头是MZ这一点要注意,否则分割不出正确的文件。
写的简陋,欢迎师傅们留言交流补充
扫一扫
894
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
