在上两篇MISC中,我们遇到的是图片的一些问题,主要涉及到文件标识头、文件结构、CRC32冗余计算、编码字符内容,并给出了winhex下载链接(详见《带你走入CTF之路-杂项MISC(一)》),需要大家不断的对这些知识点进行记忆和整理。那么接下来遇到的《telnet》题目,就要我们掌握新的内容,即网络数据包分析。
1、 telnet
这道题给了我们一个连接下载连接,需要下载1.zip文件。
解压文件后我们会发现这是一个.pcap文件。(知识点:pcap文件是数据包文件,通常使用wireshark去打开分析。Wireshark百度链接就可自行下载,kali系统也自带该工具)
如图这是我们打开数据包的内容:
分析:在海量的数据包中,我们需要查看本次的一个TCP会话信息,可以通过分析-追踪流-TCP流来查看。
在整个的一个TCP协议包中我们就可以找到flag。
总结:这个数据包分析的题目比较简单,只要会使用wireshark基本功能就可以。需要掌握wireshark基本使用方法。
2、 眼见非实
首先下载该文件,发现文件名称是“zip”,并无后缀文件类型。那么我们第一个思路就是尝试给它添加zip文件后缀名。
在添加后缀后,发现确实是一个zip文件,里面可以看到解压的内容“眼见
非实”。
当我们用word打开想查看里面的内容时,发现报错,打不开这个文件,说明这个文件损坏,或者它根本就不是一个word文件。在遇到这种情况,我们的第一反应就是通过winhex查看文件16进制码。(类似的,当有文件报错或者打不开的情况下,通过winhex查看16进制码),可以看到如下:PK就是压缩包的头文件标识。16进制码为504B0304。可以看到又是一个zip的压缩包。
按照这个思路,我们继续把文件类型后缀改为zip尝试去发现flag。
可以发现flag在这个文件夹下面。
思路:通过更改文件类型来查找flag。是文件标识符判定和查找敏感信息的结合。这里附上一个链接:总结了一些关于文件标识头的内容:https://www.cnblogs.com/WangAoBo/p/6366211.html
3、 啊哒
在众多的图片类型题目中,我们终于遇到了一个通过查看属性来发现隐藏内容的东西,如下图片本题图片:
思路:在遇到图片类型的题目中,首先右键查看图片属性,首先右键查看图片属性,首先右键查看图片属性。重要的事情说三遍。
在查看属性后,我们会发现很有意思的一个东西,就是相机型号。这是一个非常规的东西。(在做的题目多了,有一定经验一眼就能看出来,所以还需要广大CTF爱好者多刷题)。此时需要对各种字符编码特别熟悉,这段字符编码“73646E6973635F32303138”就是16位ASCII码。我们把它做一下转换看看:
可以看到转换出来的字符“sdnisc_2018”。但是我们不知道这个具体是做什么用(一般找到的字符要往是否是密码上挂钩)。此时我们就需要使用binwalk进行文件提取。
如图,使用binwalk进行文件提取,发现有一个压缩包:
解压压缩包的过程中,我们会使用到:
查看文件获取flag。
知识点:
1、 掌握各个编码字符特征,如:ASCII码、GB2312、GBK、UTF-8等。
2、熟悉binwalk使用方法,主要是-e提取参数。
今天的几个题比较简单,涉及到的知识点也比较单一。我们可以多加记忆和练习。下一期我们将对后续知识点进行梳理和思路点拨。
来源:freebuf.com 2020-02-26 20:27:33 by: 凯信特安全团队
请登录后发表评论
注册