IDF实验室Writeup之Misc

0x01图片里的英语

一恒河沙中有三千世界,一张图里也可以有很多东西。

不多说了,答案是这个图片包含的那句英文的所有单词的首字母。

首字母中的首字母要大写,答案格式是wctf{一坨首字母}

加油吧少年!看好你哦~

直接在kali里binwalk一下,果然隐藏着数据,然后binwalk -e 提取出隐藏的文件是一个flag.jpg的图片

各种尝试感觉这是一个正常的图片,然后百度识图也无果,最后搜了下赵本山的两句台词
May the force be with you
I will be back!
最终flag:wctf{Mtfbwy}

0x02抓到一只苍蝇

报告首长!发现一只苍蝇。。

在哪?

here!

卧槽?!好大一坨苍蝇。。

文件地址: http://pan.baidu.com/s/1bnGWbqJ

提取码:oe6w

这是一个数据包文件,用wireshark打开,然后在过滤条件的位置写http,一般数据只和http相关。第二个包就是一个数据传输的post包,打开后看到一些上传的文件信息,看来是要找到那个文件了

名称:fly.rar
大小:525701

然后把过滤条件改为http.request.method=="POST",仅查看post传输的数据,这样的话只剩下10个数据包了。其中第一个是发送的文件信息,那后面几个就应该是文件本身的数据了,通过数据包的结构来看应该是第2至第6个(后面的包明显不一样)。查看每个包Media Type的大小,前四个大小0都是131436,最后一个是1777

这样的话131436*4+1777>525701,多出的应该是数据的头信息了,大小为:(131436*4+1777-525701)/5=364
将他们减去,再把剩下的拼起来应该就是实际的数据了。把每个包的Media Type部分保存为二进制文件

分别命名为1,2,3,4,5,然后放到kali下,用linux下的命令

dd if=1 bs=1 skip=364 of=a

将每个文件的前364字节的数据减去,再用

cat a b c d e > f.rar

将他们合并为rar文件

这里直接的解压的话还不行,提示有加密,一开始爆破了下无果,又研究了下rar文件的格式

传送门:RAR文件格式的研究
猜到可能是伪加密,修改加密位置标志位即可解密,将0x84改为0x80

解压后虽然是一个txt文件,但实质是一个exe程序,运行以后TMD好多苍蝇,做的好逼真,其中文件最后隐藏了一个png文件,是一个二维码,扫码后得flag

flag{m1Sc_oxO2_Fly}

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*