流量分析 | CTF misc之菜刀流量分析
一、前言
昨天參加了一場CTF比賽,做了一道菜刀流量分析的題目,因為之前流量分析這塊不是很熟悉,加上實戰CTF也比較少走了不少彎路。
二、流量分析
菜刀是常見的連接webshell的工具,連接webshell會有明顯的GET或POST請求。所以我們只需要找數據包的HTTP請求就行了。
找到第一個HTTP請求,選擇追蹤HTTP流,進行分析
我們看到webshell就是/upload/1.php文件,webshell是一個post請求,請求的參數action經過base64位加密,我們把它解密出來看看
注意直接從HTTP追蹤流中復制出來的參數解析不出來,昨天就是這個走了不少彎路,要從請求的Html form url encoded中復制
解密出來的base64的請求參數
解碼出來好像沒有發現什么有價值的東西。
我們繼續往下追蹤,從http請求中知道是查看當前目錄,在這個http請求中發現flag.txt文件還有個hello.zip文件
但是還沒方法獲取到flag.txt的內容,我們繼續往下看,好幾個任意查看文件的請求,我們接下來找到一個比較關鍵的請求,從請求中分析是在flag所在的目錄下上傳了一張6666.jpg的圖片。
圖片是16進制的數字,趕緊網上百度16進制轉jpg工具,找到工具后,把圖片解析出來,結果如圖:
提示知道這個一個密碼,猜測可能跟hello.zip這個壓縮包有關系,繼續往下跟蹤
在這個post請求中發現下載了hello.zip文件
繼續往下追蹤
這一串就是壓縮文件了。趕緊百度一下壓縮文件怎么搞出來,保存為raw格式,把文件內容復制出來,保存起來,然后下載winhex打開后另存為zip格式
記得去掉>| |<
發現是一個需要密碼的壓縮包,還好之前的密碼已經搞出來了,輸入密碼解壓成功獲取flag
三、總結
CTF比賽之前還是得多積累些經驗和套路,還有提前準備一些工具。
原文鏈接:https://blog.csdn.net/qq1124794084/article/details/79125175/
