2019年7月第二周打卡_伪加密

roger

介绍一下主要的运行环境是在kali——linux下进行操作的。

运用的软件及工具下面会一一给出的。

1：用wrieshark分析，这个软件在kali中有，不过建议在windows下使用该软件，有汉化版的。。

注意观察文件名称，后缀名为pcapng，这可能是又两种文件格式组成的。还有文件名的fly，所以在wrieshark中优先分析这些特殊的字符。



一、首先用wireshark打开，另存为pcap格式的文件，使用ferret软件处理得到hamster.txt，打开hamster（注：在kali终端下使用ferret，具体使用方法可以使用ferret -h命令）,

得到一个地址：http://127.0.0.1:1234  

分析内容可知这在传文件，看看传什么文件，抓包~搜关键词fly。

可以看出fly是一个压缩包，所以使用post导出该文件，注意到使用post时有五个文件：

由于是好几个文件，需要将其合并成一个文件，这里就需要去掉相同的文件头(TCP包有文件头的，具体百度。。)，可以看到文件大小是525701，而5个数据包media type 的大小是131436*4 和最后一个1777，所以文件头的大小就是

131436*4+1777=527571-525701=1820/5=364需要每个文件去掉其364字节的文件头。kali  linux shell命令dd

命令格式为 dd if=文件名  bs=1 sktp=364 of=要保存的文件名。例如dd if=1 bs=1 sktp=364 of=1.1

依次把五个文件去掉文件头保存到另一文件，然后使用windows下cmd命令  copy /B 文件1+文件2+... fly.rar

然后呢？解压文件fly.rar？报错！！

即这是一个未加密过的rar文件，但是却将加密位置为了1，具体可参考rar文件格式描述：http://www.cnblogs.com/javawebsoa/archive/2013/05/10/3072132.html

于是改一下标志位7484为7480，使用uedit32.exe进行修改。

修改后解压发现是一个flag.txt文件，打开，乱码，于是修改文件后缀名为exe，二进制文件打开（uedit32.exe）,前面说了注意观察给的文件名的后缀有png格式，分析flag.exe文件发现底部包含一个png文件于是提取出该文件（使用软件提取，http://www.jz5u.com/Soft/softdown.asp?softid=7763进行下载软件）

嗯，发现一个二维码！！

在线使用草料二维码扫描器：