目录
题目
这是一道ctf题目,只需要找到flag即可。
流量分析
首先打开流量包,协议分级,发现HTTP流占比较多
过滤HTTP流,大致看一下,发现上传了php文件
过滤POST请求
分析第一个HTTP流,发现一句话木马,典型的蚁剑流量
继续往下分析,解密蚁剑流量
继续分析,发现上传了一张图片,但是png头前面有其他字符,结尾也是,将其删除
找到其返回包,对text data进行"显示分组字节"操作,然后通过右下角的开始、结束进行删除多余字符串
删除之后,点击显示为"图像"
其实也可以写脚本删除多于字符并输出图像,脚本如下:
点击查看代码
with open('A:/下载/1.txt', 'rb') as f:
data = f.read()
# 查找标识符位置(注意标识符在响应体中是以文本形式存在的,需处理编码)
# 响应体中的标识符是 "ebd5863dd2" 和 "20b0e2946"
start_marker = b'ebd5863dd2'
end_marker = b'20b0e2946'
start = data.find(start_marker) + len(start_marker)
end = data.find(end_marker, start)
if start != -1 and end != -1:
png_data = data[start:end]
with open('A:/下载/output.png', 'wb') as out:
out.write(png_data)
print("图片已保存为 output.png")
else:
print("未找到标识符")得到密钥key
继续分析流量,发现最后有一个压缩包,将其导出并解密,得到flag
