cppuHsir的博客

给了一个流量包，查看流量分级发现有http流量，然后查看导出http对象，第867流上传了upload.php，我们查看一下这个包，看到了很明显的冰蝎3PHP流量。下面就去找他的AES密文，看到后面继续上传了shell.php，我们直接解密最后一个，通过http对象看到了是在第5121个流量，进去以后AES解密。解密一下，看到了eval(base64_decode)，说明了他这个shell是将后面的东西进行base64加密。这里打开看到，把他作为7z的压缩包，有个密码。这里拿到了他的key。

然后用脚本去除空格和回车，会看到压缩包这个压缩包有密码，试着找了一下没有看到密码的线索，考虑爆破，这里使用Ziperello，密码是1tcKm。把word改成zip，然后解压出来，一个一个看看里面的文档在document.xml中看到了flag字样，被分成了三段。一张图片，一个密码考虑一下,试了一下基本的工具没出，因为是jpg，想起了一个处理jpg的工具JPHS，试了一下。可以看到又出现了上面的内容，所以就是说这个东西要一直base64，直到不能base64以后输出答案。

蓝帽杯半决赛WP

不知道有啥用，但应该是个压缩包密码，用010打开图片，搜了一下zip文件头没有，然后又搜了一下rar文件头，发下来有一个rar文件，导出后解密发现这并不是压缩包的密码，然后看了一下别的师傅的wp，这个图片使用了lsb隐写实际是，然后他给他搞了密码，要破解必须要使用cloacked-pixel。flag2是一个伪加密，然后解压出来是一个txt，打开发现是零宽隐写，关于零宽隐写，打开发现实际长度比看到的要多，我当时是删除时发现删除键按了一下，但是没少东西，所以猜到的。

小小总结

到手以后是这个文件，直接用取证大师挂fs.img。然后用FAT32高级数据恢复，恢复出两种文件。他说压缩包密码是这个图片的sha256。然后计算图片的sha256。解密压缩包拿到flag。注意flag头是大写。

2022蓝帽杯初赛题目

BUUCTF_MISC刷题部分

misc流量分析以及蓝帽杯misc部分题目