roger 发表于 2019-7-13 12:47:17

2019年7月第二周打卡_伪加密

介绍一下主要的运行环境是在kali——linux下进行操作的。

运用的软件及工具下面会一一给出的。

1:用wrieshark分析,这个软件在kali中有,不过建议在windows下使用该软件,有汉化版的。。

注意观察文件名称,后缀名为pcapng,这可能是又两种文件格式组成的。还有文件名的fly,所以在wrieshark中优先分析这些特殊的字符。



一、首先用wireshark打开,另存为pcap格式的文件,使用ferret软件处理得到hamster.txt,打开hamster(注:在kali终端下使用ferret,具体使用方法可以使用ferret -h命令),

得到一个地址:http://127.0.0.1:1234

分析内容可知这在传文件,看看传什么文件,抓包~搜关键词fly。

可以看出fly是一个压缩包,所以使用post导出该文件,注意到使用post时有五个文件:

由于是好几个文件,需要将其合并成一个文件,这里就需要去掉相同的文件头(TCP包有文件头的,具体百度。。),可以看到文件大小是525701,而5个数据包media type 的大小是131436*4 和最后一个1777,所以文件头的大小就是

131436*4+1777=527571-525701=1820/5=364需要每个文件去掉其364字节的文件头。kalilinux shell命令dd

命令格式为 dd if=文件名bs=1 sktp=364 of=要保存的文件名。例如dd if=1 bs=1 sktp=364 of=1.1

依次把五个文件去掉文件头保存到另一文件,然后使用windows下cmd命令copy /B 文件1+文件2+... fly.rar

然后呢?解压文件fly.rar?报错!!

即这是一个未加密过的rar文件,但是却将加密位置为了1,具体可参考rar文件格式描述:http://www.cnblogs.com/javawebsoa/archive/2013/05/10/3072132.html

于是改一下标志位7484为7480,使用uedit32.exe进行修改。

修改后解压发现是一个flag.txt文件,打开,乱码,于是修改文件后缀名为exe,二进制文件打开(uedit32.exe),前面说了注意观察给的文件名的后缀有png格式,分析flag.exe文件发现底部包含一个png文件于是提取出该文件(使用软件提取,http://www.jz5u.com/Soft/softdown.asp?softid=7763进行下载软件)

嗯,发现一个二维码!!

在线使用草料二维码扫描器:



页: [1]
查看完整版本: 2019年7月第二周打卡_伪加密