CTF做题经验总结

------------恢复内容开始------------

1、php version

题目：

这道题提示PHP version可能是一个关键点，因此可以尝试抓包，使用burpsuite抓包如下：

这里能够看出，key、ver都是注入点。其实还有一个注入点，那就是在POST头的URL链接，也即/LX/web4/index.php的后缀，因此可以通过burp看看有没有index.php后面的注入点进行，通过intruder暴破如下：

爆破结果如下：

从差异性上可以发现，确实存在.bak的网站，因此尝试访问http://106.39.10.134:20006/LX/web4/index.php.bak，发现有如下代码：

从代码上看出，需要有一个get类型的ver变量，只要ver=version，就会给key赋值，并echo key。而在前面的报文里可以清楚的发现version的值如下：

因此最终就可以清楚，在http://106.39.10.134:20006/LX/web4/index.php后面加上?ver=5.4.41即可以获得key如下：

2、流量题1

从流量上看，就是A和B之间的通信，因此从报文角度入手分析。

导出HTTP的对象如下：

这里虽然对hacker.png进行了提取，但是png中并没有有效信息，因此继续分析流。

而在这里发现一大堆同一文件的传输（下载下来打开可以发现是同一文件），区别在于后缀不同，如下：

因此提取name字段后面的后缀，形成一段16进制的信息如下：

这段16进制信息中，123404B0304与zip文件头的504B0304类似，而且最后包括504B0506的尾巴，因此把开头的1234改为5，进而形成了一个zip文件如下：

这里还需要密码，进一步分析流量发现有一个key的参数，因此判断可能是解压的key=?id=1128%23

最终解压发现flag

3、文件提取1

发现依然是两台机器进行相互通信，因此进行流追踪。

突然发现流追踪其实是对0X、1X、2X、3X进行的追踪，因此需要分析前后因果关系。翻页如下：

在0X、1X、2X中基本的情况都如上图，就是不断的进行代码注入，没有上传实质文件，但在3X中存在流信息如下：

从红框2处综合可以判断出，最后那一块应该是一个要上传的压缩文件，因此将内容的十六进制拷贝并重新整合成一个zip文件如下：

解压后发现确实有一个文件，十六进制读打开后发现flag

4、文件信息提取

这个流量数据里面的信息非常杂，需要从协议中进行过滤，看到了TCP协议，本能的还是对TCP进行过滤，进行追踪流

追踪过程中发现了一个hehehe.rar文件在登录后进行了上传，而后一个文件就是整个rar的上传流如下：

因此对文件内容进行存储，并将后缀名改为rar，发现确实是一个rar文件，但是需要密码如下：

继续追踪流，发现有如下信息：

将ready之后，EOF之前的信息base64并转码为中文后发现密码为：

一枝红杏出墙来

解开后发现6666666的文件加上后缀以后并不能生效，进一步发现是缺少了PNG头，因此加上PNG头如下：

最终打开文件发现了flag：

5、另一个文件信息提取（转载已实践）

1.下载文件wireshark打开分析文件

2.过滤出post请求

http.request.method == "POST"

3.分析出是在上传文件。

找到文件参数数据包

数据包的内容：一封带附件的邮件

发件人：81101652@qq.com

收件人：king@woldy.net

附件：fly.rar

附件大小：525701 Bytes

4.根据文件结构分析出文件内容在第2-6个POST请求包中

5.hex导出数据包

6.根据文件导出大小计算http头文件大小，并删除。

五个文件合计大小为 527521

源文件大小为 525701

求出头部数据总和为 527521 - 525701 = 1820

没个数据包HTTP头部大小为 1820 / 5 = 364 bytes

用linux中 dd 命令完成进制删除操作

这里也可以用hexEdit直接看数据包，把rar头前面的内容删除

7.win命令合并文件

copy /B 1.1+2.1+3.1+4.1+5.1 wxk.rar

linux中可以： cat 1.1 2.1 3.1 4.1 5.1 >> result.rar

7.打开压缩包分析flag.txt

直接打开flag.txt文件需要解压密码

直接使用winhex 16进制编辑器打开压缩文件发现是伪加密

将74 84 改为74 80

再次打开flag.txt 文件乱码

用binwalk查看下，发现大量的png：

使用foremost进行分解，发现多个照片和一个二维码：

扫码获得flag

flag{m1Sc_oxO2_Fly}

————————————————

原文链接：https://blog.csdn.net/qq_42094992/article/details/108397413

1.下载文件wireshark打开分析文件

2.过滤出post请求http.request.method == "POST"

3.分析出是在上传文件。找到文件参数数据包

数据包的内容：一封带附件的邮件发件人：81101652@qq.com收件人：king@woldy.net附件：fly.rar附件大小：525701 Bytes4.根据文件结构分析出文件内容在第2-6个POST请求包中

5.hex导出数据包

6.根据文件导出大小计算http头文件大小，并删除。五个文件合计大小为 527521
源文件大小为 525701
求出头部数据总和为 527521 - 525701 = 1820
没个数据包HTTP头部大小为 1820 / 5 = 364 bytes
用linux中 dd 命令完成进制删除操作

7.win命令合并文件copy /B 1.1+2.1+3.1+4.1+5.1 wxk.rar

7.打开压缩包分析flag.txt直接打开flag.txt文件需要解压密码

直接使用winhex 16进制编辑器打开压缩文件发现是违加密

将74 84 改为74 80
再次打开flag.txt 文件乱码

用winhex查看一下
文件中找到一个两个png文件分别提取文件

扫码获得flagflag{m1Sc_oxO2_Fly}————————————————版权声明：本文为CSDN博主「火中的冰~」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。原文链接：https://blog.csdn.net/qq_42094992/article/details/108397413