xctf(misc)--功夫再高也怕菜刀

最新推荐文章于 2025-10-14 19:34:01 发布
原创 最新推荐文章于 2025-10-14 19:34:01 发布 · 3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种通过逆向解析文件并利用Wireshark进行数据包分析的技术,具体步骤包括使用WinHex查找关键字,binwalk提取文件,foremost分离文件,以及Wireshark追踪TCP流定位文件头尾,最终成功获取加密密码并解密flag.txt。

拿到附件后直接拖进winhex
在这里插入图片描述发现有kali linux字样,就把该文件拖到kali里面,使用binwalk提取文件,发现里面有一个压缩包,其中有flag.txt
在这里插入图片描述
使用foremost分离文件
在这里插入图片描述
得到了一个output文件夹,内含zip,zip里面含有flag.txt,但是有密码加密
在这里插入图片描述
打开wireshark分析数据包,分组字节流搜索flag.txt,发现6666.jpg
在这里插入图片描述
分组字节流搜索6666.jpg,并追踪TCP流,找到jpg文件的文件头(FFD8)和文件尾(FFD9)并复制
在这里插入图片描述
用winhex新建文件,将复制内容粘贴为Ascll Hex 格式并保存,修改后缀为.jpg
在这里插入图片描述得到密码Th1s_1s_p4sswd_!!!,打开flag.txt文件,得到flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}
在这里插入图片描述

XCTF 功夫菜刀
weixin_52033041的博客
11-16 352
XCTF 功夫菜刀 ****这题太折磨人了!!!**** 先下载附件,是一个数据包 打开发现都是http和tcp的包,直接过滤http, 发现一个POST的包,有疑点 追踪http数据流后发现,有一大串 认真的你会发现这个是由FFD8FF开头,FFD9结束的 这是一个jpg文件的特征 请看: 然后复制粘贴到 ...
CTF-misc(功夫菜刀)
分享与记录
04-14 4165
1.题目给出的附件名为acfff53ce3fa4e2bbe8654284dfc18e1.pcapng 使用binwalk发现流量包里有个Zip压缩包 2.使用dd命令分离文件 if=file:输入文件名,缺省为标准输入 of=file:输出文件名,缺省为标准输出 bs=bytes:同时设置读写块的大小为 bytes ,可代替 ibs 和 obs skip=blocks:从输入文件开头跳过 blo...
xctf misc 功夫菜刀
weixin_38881998的博客
12-30 407
拖进winhex查看到linux,拖进kali,binwalk发现有zip,用foremost分离 得到output flag.txt需要密码 wireshark查看pcapng包,搜flag发现6666.jpg,跟踪tcp流 发现按照ffd8到ffd9复制到winhex不能使用ASCII hex码,无法形成jpg文件,找原因如下: 1.查看tcp流发现别人的对话只有206kb,我的有407kb,不知道是否会有影响且未解决 2.winhex容量要小于20KB,解决方法:更新user.tx
攻防世界-功夫菜刀
最新发布
2501_90882958的博客
10-14 216
摘要:作者分享了一个从网络流量包中提取flag的思路。首先用Wireshark打开文件,搜索"flag"并追踪TCP流,发现flag.txt和hello.zip文件。用foremost分离出文件后,发现flag.txt需要密码。继续分析流量包,在第7个包中发现图片数据,将其导出为图片后获取密码文字,最终成功解密flag.txt。(97字)
XCTF MISC 新手区 功夫菜刀
duwanglai的博客
01-03 238
功夫菜刀 这题是流量分析题,wireshark打开搜索字符串 flag,发现许多文件名flag.txt 。直接拖到foremost文件夹解包。得到一个zip压缩文件,里面包含flag.txt。发现需要密码,右边也有提示。 只能重新回到wireshark寻找信息。文件——导出对象——HTTP,保存所有对象到一个文件夹中。 notepad++打开文件夹,逐个查看导出的文件,发现这些其实是用菜刀之类的软件连接webshell所产生的流量 在1(22).php这个文件中发现一段代码和一串数据 直接b
XCTF-MISC-新手区-功夫菜刀
1stPeak's Blog
06-20 382
题目 解题步骤 1、使用binwalk提取文件 2、使用foremost分离文件 3、该压缩包解压需要密码 4、使用wireshark分析该数据包,搜索flag,找到6666.jpg 5、
XCTF---MISC---Misc文件类型
liu914589417的博客
11-15 494
XCTF---MISC---Misc文件类型---解题思路:下载附件后,十六进制转ASCII,ASCII转Base64,Base64转十六进制,保存文件导出即可。
XCTF---MISC---Time_losing
liu914589417的博客
12-12 526
XCTF---MISC---Time_losing flag:XMan{seems_to_be_related_to_the_special_guests} 解题思路---观察发现是时间戳修改,寻找差数转ASCII即可
XCTF练习题---MISC---3-11
liu914589417的博客
07-07 493
XCTF练习题—MISC—3-11 flag:FLAG{LSB_i5_SO_EASY} 解题思路: 1、观察题目,下载附件 2、下载后是一张图片,根据习惯直接Stegsolve打开查看 3、通过各种方法没有找到任何答案,判断可能是RGB或LSB图片隐写,按照习惯进行设置,发现是一个压缩包格式文件 4、转换为压缩包格式,发现其中有flag值,可是Windows提取不出来,直接上Kali打开 5、拿到这么多值,一看结尾是=号,判断是base64,尝试一下base64解码。发现开头有点东西,png格式
XCTF---MISC---Encode
liu914589417的博客
12-05 420
XCTF---MISC---Encode---解题思路:首先使用暴力破解得到生日,观察CRC32数值一样,使用明文爆破,得到解密文件,发现伪加密,09改00保存即可。
攻防世界(XCTF功夫菜刀
CNXBDSa的博客
08-08 6009
攻防世界(XCTF功夫菜刀 首先下载文件下来是一个以pcapng结尾的文件看属性有二点几m可见东西不小啊 先放进foremost中分离出来一个压缩包但是他有密码,所以接下来就是我们找密码的时候 把文件放进Wireshark中,妈呀看着我头皮发麻,东西太多了,按照常规方式去追踪一下TCP流,呃呃呃,看不懂非常乱,ctrl+f查找一下flag调成字符串类型, 去查找大概在1150个左右寻找t...
攻防世界 - Misc - Level 5 | 功夫菜刀
Blue17 の 小窝
01-09 1153
这个是一个密码,但不是一个 Flag,要想拿到 Flag。我们得找到一个需要解密的东西吧。从题目名称再结合下载下来的附件来看,可以判断,本关要分析的是 ”中国菜刀“ 的流量特征。使用 WireShark 打开流量包,直接搜索。熟悉 JPG 文件格式:开头 => FF D8;结尾 => FF D9。可以从流量包中提取出隐写的压缩包文件。
[攻防世界]功夫菜刀(misc)
qq619337301的博客
10-10 640
题目: 给了一个pcap包。 思路: 打开pcap包,过滤其他,只留下http流 发现其中一个流的内容,16进制表示出现50 4B 03 04,显然是一个压缩包,复制出来在winhex中保存为压缩包。 压缩包中有flag.txt,但是需要密码才能打开 尝试暴力破解,但是失败了。再看看其他http流,发现FF D8 FF,显然是jpg图片 复制到winhex中保存...
攻防世界的杂项入门题之功夫菜刀
沐一 · 林 的博客
09-02 1666
攻防世界的杂项入门题之功夫菜刀 继续开启全栈梦想之逆向之旅~ 这题是攻防世界的杂项入门题之功夫菜刀 下载附件,发现是pcapng文件。 这里积累第一个经验:在查找资料中学到这种流量文件里面有别的文件,用foremost工具分离一下: 分离出的文件里面有压缩包,但是需要有密码: 于是开始上网查wireshark用法,在这里卡了好长时间,导致这题一直没做。 . . 现在来回顾一下这道题中用到的wireshark用法,首先搜索字符串flag.txt,搜索时第一个红框处不能选分组列表。分组列表
攻防世界-MISC-练习区-12(功夫菜刀
qq_61993117的博客
11-30 2045
题目描述:菜狗决定用菜刀和菜鸡决一死战 这是攻防世界里面训练区的一道流量分析题,用wireshark 打开流量包 然后一级搜索http,二级用分组字节流搜索flag(按CTRL+F),并找到no.1367 在Line-basedtextdata:text/html(2lines)里面导出分节字节流后缀名要用.zip。打开导出的文件发现它需要密码 这个时候我们回到wireshark里面,然后用追踪...
XCTF之“功夫菜刀
2401_84832804的博客
01-18 280
小白的ctf之路
攻防世界MISC 功夫菜刀
ChanCherry的博客
08-17 4470
下载附件,用foremost进行pcapng文件的分离,得到一个zip,打开zip,得到一份加密的flag.txt文件。然后用wireshark打开pcapng文件,查找flag.txt关键字, 发现有个6666.jpg,右键第1150个数据包,追踪TCP流,复制从FFD8开始到FFD9的内容,到winHex里新建文件粘贴,注意粘贴格式是ASCII Hex。 保存为jpg格式,可以得到图片,...
【愚公系列】2021年11月 攻防世界-简单题-MISC-012(功夫菜刀)
热门推荐
时光隧道
10-29 4万+
功夫菜刀 下载附件得到:acfff53ce3fa4e2bbe8654284dfc18e1.pcapng文件 使用foremost进行文件分解得到 发现flag在里面但解压需要密码 使用wireshirk抓包工具打开pcapng文件分析流量 输入tcp contains "flag"查找相关的包,找到后追踪tcp流 复制FFDB开头到FFD9结尾字符串 FFD8FFE000104A46494600010101007800780000FFDB00430001010101010101010101010
攻防世界 misc 功夫菜刀
qq_43312665的博客
02-05 343
1.点击此链接下载foremost 2.可以把前两个文件复制到一个安全的文件夹,方便以后使用,不要误删就好。 分离文件的步骤: 1.将所要解密的文件放入foremost所在的目录; 2.cmd进入foremost所在目录,cd 文件夹路径 3.foremost 待分离的文件名 这样就会生成一个输出文件夹。 然后发现 然后使用wireshark打开 追踪tcp流 追踪到第七个时发现特别大而且F...
XCTF-WEB进阶-fakebook
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值