202204_DASCTF_SimpleFlow

Tags:流量分析,DASCTF,WebShell,蚁剑AntSword

0x00. 题目

附件路径:https://pan.baidu.com/s/1GyH7kitkMYywGC9YJeQLJA?pwd=Zmxh#list/path=/CTF附件

附件名称:202204_DASCTF_SimpleFlow.zip

0x01. WP

1. 分析http协议,找到附件数据

在最几个响应包中看到504B0304的压缩包特征,分析请求包内容删除干扰信息后导出备用,并发现蚁剑AntSword的流量特征

...
function asoutput(){
$output=ob_get_contents();ob_end_clean();
echo "eb32"."7956";
echo @asenc($output);
echo "44e7"."1eb66";
}
...

image

2. 排查前面的流量,发现一异常响应流量

分析响应流量,看到adding: ../flag.txt (deflated 10%)\n

猜测前面的请求流量为压缩命令

cd "/Users/chang/Sites/test";zip -P PaSsZiPWorD flag.zip ../flag.txt;echo [S];pwd;echo [E]

3. 解压压缩包,得到flag

Yes,this is the flag file.
And the flag is:
DASCTF{f3f32f434eddbc6e6b5043373af95ae8}
posted @ 2025-09-14 09:46  JasonJHu  阅读(20)  评论(0)    收藏  举报