感觉这道题对我已经有难度了
一、原题
报告首长!发现一只苍蝇。。
在哪?
here!
卧槽?!好大一坨苍蝇。。
文件地址: http://pan.baidu.com/s/1bnGWbqJ
提取码:oe6w
PS:flag写错了,太麻烦也懒得改了,格式还是wctf{…},大家明白就好,不要在意这些细节。。
二、writeup
首先下载所给的文件misc_fly.pcapng,是一个抓包软件抓取的数据包,解题流程如下:
1.用wireshark分析数据包
打开数据包,发现是一堆TCP的包,先不理会底层的数据,只关心应用层。
应用层的协议只有HTTP,过滤出HTTP的包进一步分析:
请求都发往http://sz.mail.ftn.qq.com,猜测是qq邮箱的地址。
同时观察第一个请求
POST了一段这样的JSON:
1 | { |
目标url为:1
http://set2.mail.qq.com/cgi-bin/uploadunite?func=CreateFile&&inputf=json&outputf=json&&sid=x5O8ZuWvSp9yXFgM
这应该是一个上传文件的操作,文件名为fly.rar,文件大小为525701。
进一步分析以验证猜想,过滤出全部的POST数据包:1
http.request.method == "POST"
其中倒数第二个包的内容是:
至此已经可以确定:
1 | 数据包的内容:一封带附件的邮件 |
接下来寻找附件数据在哪里。
2.寻找附件数据
第一个请求向服务器POST附件信息,紧接着就应该是上传,结合数据包推断第2~6个,共5个数据包应为附件数据。
5个数据包中的Media Type域的大小各为
131436
131436
131436
131436
1777
合计527521,而前面附件信息里已知附件大小为525701,相差不多,多出来的部分应该是头部的信息之类。
3.还原附件数据
观察5个包Media Type域的内容,前面很大一部分内容是相同的,那么这一部分是通信时所需的头部的内容,不是附件本身的内容,通过计算将多余的数据去除。
已知:
附件被分成5个部分
5个子部分合计大小为527521
附件原大小为525701
求:
每个子部分头部多余的数据
容易求出,头部多余的部分:
$$\frac{527521-525701}{5}=364 Bytes$$
将5个数据包的Media Type域分别导出为二进制文件:
然后使用dd命令分别将其前364个字节去除:1
2
3
4
5dd if=1 bs=1 skip=364 of=1.1
dd if=2 bs=1 skip=364 of=2.1
dd if=3 bs=1 skip=364 of=3.1
dd if=4 bs=1 skip=364 of=4.1
dd if=5 bs=1 skip=364 of=5.1
之后合并文件:1
cat 1.1 2.1 3.1 4.1 5.1 > fly.rar
校验md5值:
1 | md5sum fly.rar |
结果:
e023afa4f6579db5becda8fe7861c2d3
而第一步中得到的数据包中POST数据为:1
2
3
4
5
6
7
8{
"path":"fly.rar",
"appid":"",
"size":525701,
"md5":"e023afa4f6579db5becda8fe7861c2d3",
"sha":"ecccba7aea1d482684374b22e2e7abad2ba86749",
"sha3":""
}
二者一致。同理再校验sha值,同样一致。
至此,由网络包还原出了附件数据fly.rar:
4.处理附件数据
本以为到这里已经大功告成,解压fly.rar即可。
结果还有后招……竟然解压失败……
分析原因,fly.rar文件通过了md5和sha校验,肯定是没问题的,自己的思路到这里断了,怎么想也没结果。
无奈搜答案,得出结果——伪加密。
即这是一个未加密过的rar文件,但是却将加密位置为了1,具体可参考
[rar文件格式描述]
只需将文件开头处0x74位后面的0x84位置改为0x80即可
修改后顺利解压,得到flag.txt。
5.处理flag.txt
这回答案该有了吧,打开flag.txt查看,这又是一个二进制文件。
无语。
继续二进制打开。
发现这是个win32的程序,Linux跑不了,转到windows查看。
是个满屏幕跑苍蝇的程序……还挺逼真的……
还是二进制打开分析。
文件内搜PNG、Rar、JFIF,文件尾有一个PNG,提取出来,是个二维码:
扫之,得到结果flag{m1Sc_oxO2_Fly}
三、flag
wctf{m1Sc_oxO2_Fly}
四、知识点
这题够绕的……
虽然参考了部分答案,但做完感觉很好。