buuctf 杂项 菜刀666

最新推荐文章于 2025-05-08 18:15:37 发布
原创 最新推荐文章于 2025-05-08 18:15:37 发布 · 799 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #网络协议 #信息与通信 #web安全 #安全

buuctf 杂项 菜刀666

在这里插入图片描述
这里提示是菜刀,菜刀流量特征就是base64+eval函数+z1参数
下载下来是个PCap流量包,这里可以选择wireshark,我平时喜欢用科来,这是我hw期间遇到的一款流量分析软件,国产的对国人比较友好🤦‍
这里解压完,直接放科来:
在这里插入图片描述
然后点击开始。
在分析之前,希望大家对网络知识有一定了解,这边注重tcp会话的描述,进去直接点tcp会话
在这里插入图片描述
一些简单题,直接找会话比较长的然后ctrl+f 找flag就秒了,这边每个会话都很长,需要慢慢找,这题要结合菜刀的特征+杂项内容zip和jpg文件头)去分析。
在这里插入图片描述
这里外网(大连那个标识)的都是加密的,看不到什么内容,本地标识的数据包很容易看出来是菜刀标识
在这里插入图片描述
在这里插入图片描述
政变正向用一下菜刀就知道特征了。
本来,一直解码aa参数内容去搞得,但是想一下,根据网站返回内容就可以就基本才出来base64加密的代码是干嘛的了。
这里不要急,一个个翻。
双击需要的会话,然后点数据流就可以了。
在这里插入图片描述

在这里插入图片描述

发现很多会话都是查看当前目录的,base解码aa参数读代码,其实也是,这里可以根据返回内容反推请求内容
当找到这个会话的时候
在这里插入图片描述这里存在PK开头的数据流,PK开头是zip格式的文件头,也就是50 4B 03 04

在这里插入图片描述
鼠标放到PK那段,科来会提示我们数据包id号为1367
在这里插入图片描述
点击数据包,再点击1367数据包
在这里插入图片描述
在这里插入图片描述

右键点击复制HEX,也就是16进制数据了,然后找一个16进制编辑器把数据复制进去就行了,winhex或者010editor都可,平时使用010editor比较多
这里复制进去不要用ctrl+v,而是使用ctrl+shift+v,前者会复制到文本区域而非16进制区域,后者是复制到16进制区域
然后另保存为一个zip文件就行了
在这里插入图片描述
这里几个思路:
1、爆破
2、伪加密
3、流量里面存在密码
该zip文件需要解压密码,尝试4位数字爆破(这里我使用的是Archpr工具),失败。
伪加密,我使用了ZipCenOp,失败。
010editor文本区域最后也提示我们需要密码,继续查看pcap文件,注意这里只查看标识为本地的包,双击数据包,然后点击数据流,我们只读数据量,因为它可读。
在这里插入图片描述
在这次会话里面我们发现了一些蹊跷,这个包的数据流里面action参数格外的长
在这里插入图片描述
在这里插入图片描述
并且拖到最后我们发现结尾是FF D9,这是jpg文件的文件尾标识

在这里插入图片描述
直接ctrl + f 找 FFD8FF,这是jpg文件的文件头标识。发现是z2参数的标识,z1和z2都是菜刀的特征,用一次就知道了,

在这里插入图片描述
将z2参数值全部复制下来,ctrl+shift+v到010editor,另存为jpg格式
在这里插入图片描述
在这里插入图片描述
得到zip压缩文件的密码,
这里可以直接放微信里面,用微信的OCR
解压就得到flag了。

Tuwin
关注
buuctf 菜刀666
weixin_44110537的博客
09-01 2728
追踪Tcp流到第六个发现传递了一张图片 s='填写16进制数据' import binascii out=open('2.jpg','wb') out.write(binascii.unhexlify(s)) out.close() 得到: 很有可能有个加密压缩包 继续查找到第九个流: 果然有个有个压缩包 于是输入密码得到 flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z} ...
作为安全从业人员的技能树
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
02-09 1215
大语言模型时代的网络安全态势更加紧迫,如何使用新时代的工具来学习攻防,同时网络安全攻防都在不断变革新的技术,如何做好攻防是一个关键点。
liuliang.py
05-01
liuliang.py
CTF杂项入门(BUUCTF-Misc第一页)
Welcome To Myon'Blog !
05-08 1410
题目涵盖:BUUCTF 第一页杂项。涉及工具:随波逐流、foremost、binwalk、honeyview、010editor、zipperello、archpr、wireshark、cyberchef、QR_Research、PNGCRC爆破、stegsolve、Audacity、河马、D盾、routerpassview、steghide,以及一些在线网站小工具。
BUUCTF-菜刀666
m0_63563528的博客
04-01 3538
BUUCTF-菜刀666,使用工具:wireshark,010editor
BUUCTF菜刀666
末初 · mochu7
10-02 8022
题目地址:https://buuoj.cn/challenges#%E8%8F%9C%E5%88%80666 流量分析 过滤POST的包 http.request.method==POST 在tcp.stream eq 7中发现了大量数据 FF D8开头FF D9结尾,判断为jpg图片,将这些十六进制复制出来,以原始文件流写入文件 #Author:Seanz7 import struct a = open("str.txt","r")#十六进制数据文件 lines = a.read() res =
buuctf--菜刀 666
ncnfjdjjd的博客
02-25 1208
wireshark,http,webshell
BUUCTF---misc---菜刀666
2201_75556700的博客
05-04 1097
7、将z2后面的十六进制保存在新建的txt文件中,用010编辑器导入十六进制即txt,后保存为jpg,得到照片。8、接着将流量包分离出压缩包,得到一个flag.txt,需要密码。5、追踪http数据流,发现z2后面是一个jpg文件的文件头。2、题目说是菜刀,联想到http协议的post方法。1、下载附件,在wireshark中分析。6、往下滑,发现提示有txt文件和压缩包。9、使用照片中提示的密码,得到flag。4、打开数据包,发现有个不一样。这里面有一大串的数据包。
buuctf_misc 菜刀666
最新发布
06-13
BUUCTF杂项(Misc)题目中,菜刀工具(Cknife)通常被用来进行文件解析、隐写分析或流量数据提取等操作。以下是对菜刀工具在BUUCTF中的使用技巧和相关解题思路的总结[^1]。 #### 菜刀工具的基本功能 菜刀工具是...
CTF萌新入坑指南(web篇)(21.6.5已更新)
kingdring的博客
09-27 6183
ps:其实在写这篇入坑指南的时候内心还是十分挣扎的,毕竟大佬太多而我自己太太太太菜,然鹅我也不好拒绝温柔善良的郑童鞋的邀请,因此这篇文章只面向最最最新的萌新,各位大佬请自行忽略 前言 web在ctf里面占到的比重还是蛮大的,从国内有ctf赛事以来,web就一直是各 路出题人的宠儿,就比如说前段时间的某次分区赛初赛题目构成是7pwn 7web 1re 1misc,虽然在我看来这个题目分配过于偏激且离谱了,但是足以看出web 在ctf中的重要性,线下赛pwn佬可能更加关键,不过web手对于每个队伍都是
BUUCTF 菜刀666 1
YueXuan_521的博客
11-21 1459
BUUCTF 菜刀666 1 ,在下面找到一个zip压缩包,又在倒数第二个数据包的追踪流中,找到pk标识,确认该pcapng文件内有一个zip压缩包。(wireshark 截取的流量中,会截取文件传输对应的流量,也就是说,这个pcapng文件将包括 zip压缩包)在010 Editor中,使用“文件”选项卡的“导入16进制文件”选项,导入刚才新建的txt文件。尝试解压压缩包,需要密码,想起来之前拿到的密码,使用密码解压,得到flag.txt文件。下载附件,解压得到一个.pcapng文件。
buuctf-misc-菜刀666
weixin_46079186的博客
07-21 1532
打开直接过滤 post 请求,发现一处可疑点 右键追踪http 流 发现两处z1&z2,有东西 我们直接输出一下结果,6666.jpg 一张图片 下面的应该就是16 进制转图片了 a = "16进制" import binascii out=open('2.jpg','wb') out.write(binascii.unhexlify(s)) out.close() 以为这个是flag 结果不是 继续看包 追踪流9,是个加密的文件 解密一下,发现一个zip文件, 我们.
buuctf MISC菜刀666
weixin_43326436的博客
07-21 1187
buu
Buuctf 菜刀666个人题解
m0_73441872的博客
04-14 861
导出分组字节流,使用010editor另存为jpg格式。
【MISC】BUUCTF_菜刀666
m0_63563528的博客
07-01 752
分析流量,流量分析的对象是菜刀流量,菜刀是常见的连接webshell的工具,连接webshell会有明显的GET或POST请求。拿到题目,给到的是一个流量包,分析流量包之前我会先用note工具查看流量包,看是否对流量分析有帮助。(或GET),分别查看POST和GET流量包。,如下,扫到名为flag.txt的文件,而且是被进行了加密压缩的。用图片显示的密码解压,得到flag,此题完。
BUUCTF-MISC-菜刀666
m0_59028058的博客
03-24 386
通过分析可以发现,z1的参数进行base64解码得到的是一个图片文件路径,z2的参数是一串十六进制编码,从FF D8 FF 可以看出这是 jpg 文件的文件头。5、在该数据包中发现,wireshark 截取的流量中,会截取文件传输对应的流量,也就是说,这个pcapng文件将包括了这个 zip 压缩包。7、解压时发现该被加密了,需要一个密码,想起来之前拿到的一个密码,使用改密码进行解压缩最终得到flag.txt。3、将z2的参数提取出来,放入二进制编辑器中,并新建保存成 .jpg 文件。
BUUCTF-杂项-1
m0_46383107的博客
09-12 2162
BUUCTF 杂项 文章目录BUUCTF杂项N种方法解决wireshark被嗅探的流量easycapFLAG另外一个世界假如给我三天光明A_Beautiful_Picture神秘龙卷风来首歌吧 N种方法解决 打开后下载文件key.exe 放到010Editor.exe里面可以看到一段文本 由于前面是image/jpg 和base64加密 就直接去网上解密并弄成图片形式 网站:https://the-x.cn/base64/(注意要把前面的data:image/jpg;base64,这一段去掉才可以编译)
BUUCTF 杂项 [sqltest]
qi_SJQ_的博客
11-12 1553
1.打开题目可以知道这是一道考察流量分析和sql盲注的题。 2.本题有两个思路,一个是导出http流,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值