|
发表于 2019-7-13 12:47:17
|
查看: 6404 |
回复: 0
介绍一下主要的运行环境是在kali——linux下进行操作的。
运用的软件及工具下面会一一给出的。
1:用wrieshark分析,这个软件在kali中有,不过建议在windows下使用该软件,有汉化版的。。
注意观察文件名称,后缀名为pcapng,这可能是又两种文件格式组成的。还有文件名的fly,所以在wrieshark中优先分析这些特殊的字符。
一、首先用wireshark打开,另存为pcap格式的文件,使用ferret软件处理得到hamster.txt,打开hamster(注:在kali终端下使用ferret,具体使用方法可以使用ferret -h命令),
得到一个地址:http://127.0.0.1:1234
分析内容可知这在传文件,看看传什么文件,抓包~搜关键词fly。
可以看出fly是一个压缩包,所以使用post导出该文件,注意到使用post时有五个文件:
由于是好几个文件,需要将其合并成一个文件,这里就需要去掉相同的文件头(TCP包有文件头的,具体百度。。),可以看到文件大小是525701,而5个数据包media type 的大小是131436*4 和最后一个1777,所以文件头的大小就是
131436*4+1777=527571-525701=1820/5=364需要每个文件去掉其364字节的文件头。kali linux shell命令dd
命令格式为 dd if=文件名 bs=1 sktp=364 of=要保存的文件名。例如dd if=1 bs=1 sktp=364 of=1.1
依次把五个文件去掉文件头保存到另一文件,然后使用windows下cmd命令 copy /B 文件1+文件2+... fly.rar
然后呢?解压文件fly.rar?报错!!
即这是一个未加密过的rar文件,但是却将加密位置为了1,具体可参考rar文件格式描述:http://www.cnblogs.com/javawebsoa/archive/2013/05/10/3072132.html
于是改一下标志位7484为7480,使用uedit32.exe进行修改。
修改后解压发现是一个flag.txt文件,打开,乱码,于是修改文件后缀名为exe,二进制文件打开(uedit32.exe),前面说了注意观察给的文件名的后缀有png格式,分析flag.exe文件发现底部包含一个png文件于是提取出该文件(使用软件提取,http://www.jz5u.com/Soft/softdown.asp?softid=7763进行下载软件)
嗯,发现一个二维码!!
在线使用草料二维码扫描器:
|
温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可,还可以获得学币奖励,请尊重他人的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【 投诉建议】板块发帖举报。
|