一个CTF流量分析题，

GoogleHacking · 发表于 2024-4-3 09:58

本帖最后由 GoogleHacking 于 2024-4-3 10:26 编辑

通过流量过滤发现了flag.zip。但是导出以后发现是个真加密的压缩包。试了密码爆破工具，但是解不开，求大佬指导，要最终的flag

https://wwo.lanzn.com/ia5qE1tp5cpi

whodead · 发表于 2024-4-7 10:04

本帖最后由 whodead 于 2024-4-7 11:52 编辑

我来完整的解答，楼主缺乏网络安全的知识所以一头雾水。
1.通过流量包分析攻击者利用文件上传漏洞，上传了PHP马。
2.利用PHP马执行各种系统命令，并完成服务器上flag.txt文件的打包和下载（这个过程中可以查到解压缩包时的密码）。
3.PHP马传递的参数到转换成系统命令执行的过程是经过base64解码和key一起进行DES-ECB加密后再异或运算得到（这个不用懂，直接复制代码到PHP环境运行即可得到系统命令的明文）。
D:\Desktop\Snipaste_2024-04-07_09-52-41.png

whodead · 发表于 2024-4-3 10:19

流量包发出来啊

GoogleHacking · 发表于 2024-4-3 10:27

whodead 发表于 2024-4-3 10:19
流量包发出来啊

https://wwo.lanzn.com/ia5qE1tp5cpi

xav13r · 发表于 2024-4-3 10:48

flag{d7854dc47942625c96959866f474bca0} 压缩包的解压密码在第十个http流里面

gailium · 发表于 2024-4-3 11:24

密码test123456

G4v1n · 发表于 2024-4-3 11:58

老哥做完能分享一下WP吗

Alexwhich · 发表于 2024-4-3 15:26

G4v1n 发表于 2024-4-3 11:58
老哥做完能分享一下WP吗

参考http流就行了

GoogleHacking · 发表于 2024-4-3 15:47

xav13r 发表于 2024-4-3 10:48
flag{d7854dc47942625c96959866f474bca0} 压缩包的解压密码在第十个http流里面

这里面base64解密了是乱码啊，没有密码啊

Alexwhich · 发表于 2024-4-3 19:32

GoogleHacking 发表于 2024-4-3 15:47
这里面base64解密了是乱码啊，没有密码啊

不是直接base64解码，你看前几个流量包，传了个文件上传shell上去，自己搭建解密得rTKukdln6Sn78XwoX1uRSHlvgvU8tDTkxet1HnWfAydVhTYwm65mOQ==
unzip flag.zip flag.txt -P test123456

所長 · 发表于 2024-4-6 16:44

直接cyberchef即可微信图片_20240406164416.png

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 一个CTF流量分析题，

免费评分

免费评分

个人中心