学逆向论坛

找回密码
立即注册

只需一步,快速开始

发新帖

2万

积分

41

好友

1171

主题
发表于 2019-7-13 12:47:17 | 查看: 6404| 回复: 0

相关题目:

♦ 伪加密

介绍一下主要的运行环境是在kali——linux下进行操作的。

运用的软件及工具下面会一一给出的。

1:用wrieshark分析,这个软件在kali中有,不过建议在windows下使用该软件,有汉化版的。。

注意观察文件名称,后缀名为pcapng,这可能是又两种文件格式组成的。还有文件名的fly,所以在wrieshark中优先分析这些特殊的字符。



一、首先用wireshark打开,另存为pcap格式的文件,使用ferret软件处理得到hamster.txt,打开hamster(注:在kali终端下使用ferret,具体使用方法可以使用ferret -h命令),

得到一个地址:http://127.0.0.1:1234  

分析内容可知这在传文件,看看传什么文件,抓包~搜关键词fly。
982295d2961e599b88.png
可以看出fly是一个压缩包,所以使用post导出该文件,注意到使用post时有五个文件:
824215d2961f7de113.png
由于是好几个文件,需要将其合并成一个文件,这里就需要去掉相同的文件头(TCP包有文件头的,具体百度。。),可以看到文件大小是525701,而5个数据包media type 的大小是131436*4 和最后一个1777,所以文件头的大小就是

131436*4+1777=527571-525701=1820/5=364需要每个文件去掉其364字节的文件头。kali  linux shell命令dd

命令格式为 dd if=文件名  bs=1 sktp=364 of=要保存的文件名。例如dd if=1 bs=1 sktp=364 of=1.1

依次把五个文件去掉文件头保存到另一文件,然后使用windows下cmd命令  copy /B 文件1+文件2+... fly.rar

然后呢?解压文件fly.rar?报错!!

即这是一个未加密过的rar文件,但是却将加密位置为了1,具体可参考rar文件格式描述:http://www.cnblogs.com/javawebsoa/archive/2013/05/10/3072132.html

于是改一下标志位7484为7480,使用uedit32.exe进行修改。
45825d2962117f55e.png
修改后解压发现是一个flag.txt文件,打开,乱码,于是修改文件后缀名为exe,二进制文件打开(uedit32.exe),前面说了注意观察给的文件名的后缀有png格式,分析flag.exe文件发现底部包含一个png文件于是提取出该文件(使用软件提取,http://www.jz5u.com/Soft/softdown.asp?softid=7763进行下载软件)

嗯,发现一个二维码!!

在线使用草料二维码扫描器:
403095d2962244c959.png


温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可,还可以获得学币奖励,请尊重他人的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。
论坛交流群:672619046

小黑屋|手机版|站务邮箱|学逆向论坛 ( 粤ICP备2021023307号 )|网站地图

GMT+8, 2024-12-23 21:08 , Processed in 0.137886 second(s), 43 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表