[LitCTF 2023]easy_shark
2026/7/12 17:33:31 网站建设 项目流程

[LitCTF 2023]easy_shark

下载附件发现是一个压缩包,解压发现是要密码的,但是使用ARCHPR这个工具进行密码爆破发现爆破不成功

将压缩包放到winhex中发现是伪加密

将上面的00 09改为00 00,保存,解压,是一个pcapng文件,使用wiredhark,打开文件,先是过滤http,然后查找flag字符,发现89afeflag{1ook_th1s_1s_76ke_f1ag}

30b9fflag{1ook_th1s_1s_76ke_f1ag}

这几个尝试了发现是假的flag,继续找,

发现gezx{j13p5oznp_1t_z_900y_k3z771h_k001}上面还有一个方程(x^2-x**2)+(x-17)(x-77)=0,一个是17,一个是77,这有一串字符串两个数字,让人联想到了 放射Affine密码

flag{w13e5hake_1s_a_900d_t3a771c_t001}

输入flag,返回错误

返回到题目首页

发现flag_后面还要有木马连接的key

返回到wireshark中,过滤http,一般的木马文件是mm.php文件,所以我就在查找字符处输入mm.php发现了一句话木马,它的连接key是a

所以flag是NSSCTF{w13e5hake_1s_a_900d_t3a771c_t001_a}

知识点:

伪加密:

无加密:

压缩源文件数据区的全局方式位标记应当为00 00 (50 4B 03 04 14 00 后)
且压缩源文件目录区的全局方式位标记应当为00 00 (50 4B 01 02 14 00 后)

伪加密:

压缩源文件数据区的全局方式位标记应当为 00 00 (50 4B 03 04 14 00 后)
且压缩源文件目录区的全局方式位标记应当为 09 00 (50 4B 01 02 14 00 后)

题目中的是50 4B 03 04 14 00后面是09,将09改为00就是无加密

查找一句话木马,主要是HTTP的协议,所以为了更具体的找出攻击者做了哪些操作,首先筛选出POST关键字(用户登录以及上传文件都需要用到POST表单)筛选语句是:http.request.method==“POST”

一般上传一句话木马会使用mm.php或shell.php做为文件名,但是我做的流量题比较少,所以这只是一个简单的查找一句话木马的判断,肯定会有其他判断的方法,等我遇到会写上

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询