CTF-MISC杂项题2
這篇博客接著CTF-MISC雜項題1繼續講
03 壓縮文件處理
壓縮文件分析
偽加密一般考察zip與rar,現在不常考,因為現在壓縮軟件功能強大,自動可以識別偽加密
框里的80的尾數為0即可解密,若改了值還報錯,為真加密
3.明文攻擊
明文攻擊指知道加密的ZIP里部分文件的明文內容,利用這些內容推測出密鑰并解密ZIP文件的攻擊方法,相比于暴力破解,這類方法在破解密碼較為復雜的壓縮包時效率更高。
采用場景:已知加密的zip部分文件明文內容
例如:假設一個加密的壓縮包里有兩個文件readme.txt和flag.txt,其里flag.txt的內容為我們希望知道的內容,而我們有readme.txt的明文文件,利用上述兩個文件即可進行明文攻擊。
采用該方法需要注意兩個關鍵點:
1.有一個明文文件,壓縮后CRC值與加密壓縮包里的文件一致
2.明文文件的壓縮算法需要與加密壓縮文件的壓縮算法一致
2345好壓默認壓縮算法為deflate,可以在添加到壓縮文件時在壓縮方法里選不同的算法。
對于2345好壓的store算法,無需修改算法選項卡,在常規選項卡里將壓縮方式設置為存儲即可。
出錯:
修改后:(變動7A為文件頭塊類型)
再把STM加上.png后綴名打開圖片(因為編輯器里顯示STM有png后綴名)
流量取證技術
取證:內存取證,硬盤取證,這些為存儲取證
CTF競賽里,流量包的取證分析為另一項重要的考察方向。
通常競賽里會提供包含流量數據的PCAP文件,有時候也會需要選手們先進行修復或者重構文件后,再進行分析。
競賽里的流量分析可以概括為以下三個方向:
流量包修復
協議分析
數據提取
5.包長度過濾
udp.length == 26 這個長度指udp本身固定長度8加上下面那塊數據包之和
tcp.len >= 7 指的是ip數據包(tcp下面那塊數據),不包括tcp本身
ip.len == 94 除了以太網頭固定長度,其他都算是ip.len,即從ip本身到最后
frame.len == 119 整個數據包長度,從eth到最后
協議分析:
Statistics->Protocol Hierarchy查看協議分析,若想選某個層次過濾,右鍵->作為過濾器應用
根據數據包特征進行篩選
例如查看數據包的時候,有的數據包有某類特征,如有http(80).就可以篩選這類特征出來。
右鍵->作為過濾器應用
在關注的http數據包或者tcp數據包里選擇流匯聚,可以將HTTP流或者TCP流匯聚或者還原成數據,在彈出的框里可以看到數據內容。
右鍵->追蹤->HTTP流
在彈出的窗口右下方有個“查看下一個”,即可查看下一個包
常見的HTTP流關鍵內容:
1.HTML里直接包含重要的信息
2.上傳或者下載文件內容,通常包含文件名,hash值等關鍵信息
3.一句木馬,POST請求,內容包含eval,內容采用base64加密
在打開的對象列表里找到有價值的文件,如壓縮文件,文本文件,音頻文件,圖片等,點擊savas進行保存,或者saveall保存所有對象再進入文件夾進行分析。
2.wireshark可以手動提取文件內容
點擊想要的數據包,選到media type的位置
右鍵->導出分組字節流或者 點擊 菜單欄文件->導出分組字節流,快捷方式Ctrl+H在彈出的框里將文件保存成二進制文件
協議分析發現只有wireless LAN協議,很可能為WPA或者WEP加密的無線數據包
可以將該域的值在主面板上顯示,鍵盤數據包的數據長度為8個字節,擊鍵信息集合在第3個字節,每次key stroke都會產生一個keyboard event usb packet。
Leftover Capture Data間值與具體鍵位的對應關系,可以參考:
python腳本:
此方法為普方法,不太好用
此方法較為專業
之后:python keybroad.py(keybroad.py為keybroad mapping里寫的python代碼)
root@kali:~#python keybroad.py
鼠標與鍵盤流量不同,鼠標變動表現出連續性,與鍵盤的離散行不同。但實際鼠標產生的數據為離散的。所以同樣可以把數據抓取出來,構成二維坐標做出軌跡。
mouse.py代碼:
if btn_flag需要自行調整0,1,2
之后再在做圖工具里將得到的flag翻轉以下即可
鍵盤和鼠標方法二:
例如方法二的鼠標:
Preferences->Protocols->SSL->Edit RSA keys list
右鍵,點擊追蹤,再點擊SSL流/HTTP流,然后可以看到flag
總結
以上是生活随笔為你收集整理的CTF-MISC杂项题2的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 周围剃光头顶留长发型_发型改变气质,这话
- 下一篇: c语言学习与应用 北京邮电大学出版社,《