一个CTF流量分析题,
本帖最后由 GoogleHacking 于 2024-4-3 10:26 编辑通过流量过滤发现了flag.zip。但是导出以后发现是个真加密的压缩包。试了密码爆破工具,但是解不开,求大佬指导,要最终的flag
https://wwo.lanzn.com/ia5qE1tp5cpi 本帖最后由 whodead 于 2024-4-7 11:52 编辑
我来完整的解答,楼主缺乏网络安全的知识所以一头雾水。
1.通过流量包分析攻击者利用文件上传漏洞,上传了PHP马。
2.利用PHP马执行各种系统命令,并完成服务器上flag.txt文件的打包和下载(这个过程中可以查到解压缩包时的密码)。
3.PHP马传递的参数到转换成系统命令执行的过程是经过base64解码和key一起进行DES-ECB加密后 再异或运算得到(这个不用懂,直接复制代码到PHP环境运行即可得到系统命令的明文)。
D:\Desktop\Snipaste_2024-04-07_09-52-41.png
流量包发出来啊{:1_926:} whodead 发表于 2024-4-3 10:19
流量包发出来啊
https://wwo.lanzn.com/ia5qE1tp5cpi 密码test123456 老哥做完能分享一下WP吗 G4v1n 发表于 2024-4-3 11:58
老哥做完能分享一下WP吗
参考http流就行了 xav13r 发表于 2024-4-3 10:48
flag{d7854dc47942625c96959866f474bca0} 压缩包的解压密码在第十个http流里面
https://s21.ax1x.com/2024/04/03/pFH7RUg.png
这里面base64解密了是乱码啊,没有密码啊 GoogleHacking 发表于 2024-4-3 15:47
这里面base64解密了是乱码啊,没有密码啊
不是直接base64解码,你看前几个流量包,传了个文件上传shell上去,自己搭建解密得rTKukdln6Sn78XwoX1uRSHlvgvU8tDTkxet1HnWfAydVhTYwm65mOQ==
unzip flag.zip flag.txt -P test123456 直接cyberchef即可
页:
[1]
2