入门日志分析 1 2 3 4 5 . . . . . 有 s 爆 登 黑 多 s 破 陆 客 少 h 用 成 登 I 爆 户 功 陆 P 破 名 的 主 在 成 字 I 机 爆 功 典 P 后 破 登 是 共 新 主 陆 什 爆 建 机 的 么 破 了 s I ? 了 一 s P 如 多 个 h 是 果 少 后 的 多 有 次 门 r 少 多 用 o , 个 户 o 如 使 , t 果 用 用 帐 有 " 户 号 多 , 名 , 个 " 是 如 使 分 多 果 用 割 少 有 " 多 , 个 " 使 分 用 割 " , " 分 割 有多少IP在爆破主机ssh的root帐号 在linux中登入日志为 ...
闽盾杯 复现 部分 logo隐写 zstag使用,很惭愧之前完全没接触过此类工具 excel隐写 execl表格,考的是vba宏的使用 点击查看宏 可以看到一个加密和一个解密,点击解密 就可以看到flag,但很明显是乱的,经过测试对计算机分数进行降序排列即可拿到正确的flag flag{jisuanjichengjijuedingbisaipaiming} 变个样就不认识我了? 也是个图片隐写,使用zsteg读取可以看到类似base64的信息 他的意思应该是存在冗余数据,那就不用他了,直接010查看 猜测上方应该是base表下方应该是编码后的数据,使用万能解码试试 W9i4WoeEJAy7Un/hV8u/WT870Tq2J6xjKEl= 不行,根据提示是base表出现了问题,base标准表结构应该是ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/= A-Za-z0-9+/= 我们拿到的内容是xyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/所以可以大胆猜测其内容为他为正常base表字母字符的颠倒结构即abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/= 卡住了 问过大佬后得知,并非补全而是跟在后面 xyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/abcdefghijklmnopqrstuvw 我不是二维码 拿到信息,随波逐流梭哈 这题的使用的是AES加密,在做题的时候一直以为的base64的换表,密钥和偏移都为文件名42nudiehheidun24 出题人的上网流量 拿到这道题目的时候第一反应的http,webshell的流量分析做多了有点路径依赖了,这不该,再看看可以看到一些smtp 过滤smtp 很明显的qqmali流量 追踪tcp流 导出为eml后缀文件后用能解析邮件格式的软件打开即可看到doc文件 另存为附件,发现密码,根据提示接收人是吴的qq在闽盾qq群查找 获得密码 217778
DNS 流量分析 https://www.nssctf.cn/problem/941 用鲨鱼打开pcapng流量包可以看到很多DNS包,使用过滤器过滤掉多于的包 基本都是dnslog的流量,值得注意的是ZmxhZ3tlNj.i6ov08.dnslog.cn这样的流量,其三级域名一眼怀疑base64 确定,从上往下提取dns的三级域名 ZTgxMzE4Yn0K.i6ov08.dnslog.cn AwMWVlOGJi.i6ov08.dnslog.cn YTM3NmUxYz.i6ov08.dnslog.cn YyYWMxNTRj.i6ov08.dnslog.cn.localdomain ZmxhZ3tlNj.i6ov08.dnslog.cn ZmxhZ3.i6ov08.dnslog.cn ZmxhZ3tlNj.i6ov08.dnslog.cn Z.i6ov08.dnslog.cn ZmxhZ3tlNj YyYWMxNTRj YTM3NmUxYz AwMWVlOGJi ZTgxMzE4Yn0K 通过dns解码 题解
NNSCTF 这是BASE?? https://www.nssctf.cn/problem/691 拿到题目可以看到一个数组与编码后的字符,简单查看可以发现其符合base表的特征 那接下来就简单了,python写一个脚本把键值对遍历一下就好 a = "" base64_tab = {0: 'J', 1: 'K', 2: 'L', 3: 'M', 4: 'N', 5: 'O', 6: 'x', 7: 'y', 8: 'U', 9: 'V', 10: 'z', 11: 'A', 12: 'B', 13: 'C', 14: 'D', 15: 'E', 16: 'F', 17: 'G', 18: 'H', 19: '7', 20: '8', 21: '9', 22: 'P', 23: 'Q', 24: 'I', 25: 'a', 26: 'b', 27: 'c', 28: 'd', 29: 'e', 30: 'f', 31: 'g', 32: 'h', 33: 'i', 34: 'j', 35: 'k', 36: 'l', 37: 'm', 38: 'W', 39: 'X', 40: 'Y', 41: 'Z', 42: '0', 43: '1', 44: '2', 45: '3', 46: '4', 47: '5', 48: '6', 49: 'R', 50: 'S', 51: 'T', 52: 'n', 53: 'o', 54: 'p', 55: 'q', 56: 'r', 57: 's', 58: 't', 59: 'u', 60: 'v', 61: 'w', 62: '+', 63: '/', 64: '='} for x in base64_tab.values(): a += x print(a) 然后使用CyberChef解码 也可以用python一步到位 import base64 dict={0: 'J', 1: 'K', 2: 'L', 3: 'M', 4: 'N', 5: 'O', 6: 'x', 7: 'y', 8: 'U', 9: 'V', 10: 'z', 11: 'A', 12: 'B', 13: 'C', 14: 'D', 15: 'E', 16: 'F', 17: 'G', 18: 'H', 19: '7', 20: '8', 21: '9', 22: 'P', 23: 'Q', 24: 'I', 25: 'a', 26: 'b', 27: 'c', 28: 'd', 29: 'e', 30: 'f', 31: 'g', 32: 'h', 33: 'i', 34: 'j', 35: 'k', 36: 'l', 37: 'm', 38: 'W', 39: 'X', 40: 'Y', 41: 'Z', 42: '0', 43: '1', 44: '2', 45: '3', 46: '4', 47: '5', 48: '6', 49: 'R', 50: 'S', 51: 'T', 52: 'n', 53: 'o', 54: 'p', 55: 'q', 56: 'r', 57: 's', 58: 't', 59: 'u', 60: 'v', 61: 'w', 62: '+', 63: '/', 64: '='} #k1 = "JKLMNOxyUVzABCDEFGH789PQIabcdefghijklmWXYZ0123456RSTnopqrstuvw+/=" k1 = "" for i in dict: k1 += dict[i] print(k1) k2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=" en = "FlZNfnF6Qol6e9w17WwQQoGYBQCgIkGTa9w3IQKw" b = '' for i in en: a = k1.find(i) print(a) b+=k2[a] print(b) print(base64.b64decode(b)) 我当初没接触这种题目的时候猜测的之间替换表然后查询,而是将自定义编码后的参数转化为标准编码,再使用标准base64解码
蚁剑流量分析[玄机靶场] 这题考察的要不就是对蚂蚁流量特征的,要不就是php的阅读能力,难度不大 第一题 连接密码 打开文件,过滤http流量,随便打开一个 密码为1 flag{1} 第二题 黑客执行的第一个命令是什么 蚂蚁的流量逻辑是信息经过base64编码后在前面加两位,在payload中会使用substr函数截掉,所以做解码也需要删掉前两个 详细可见这篇文章 蚁剑流量分析 看前第24号包 重点关注末尾的传参内容及AkY2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz删除前两位base64解码cd "/var/www/html";id;echo e124bc;pwd;echo 43523很明显,第一个命令执行为id flag{id} 第三题 黑客读取了哪个文件的内容,提交文件绝对路径 一眼顶真 鉴定为/etc/passwd flag{/etc/passwd} 第四五题 文件上传包,蚂蚁的文件上传传参是文件文件hex+文件路径,文件路径传参逻辑与其他一样base64删掉前两个字符hex没有编码 那么路径就是L3Zhci93d3cvaHRtbC9mbGFnLnR4dA== » /var/www/html/flag.txt 内容 666C61677B77726974655F666C61677D0A » flag{write_flag} 第六题 黑客下载了哪个文件,提交文件绝对路径 flag{/var/www/html/config.php}