闽盾杯初赛

本文最后更新于:2023年6月5日 下午

【闽盾杯】wp

dns流量分析

image-20230525121917826

流量包里全是dns协议,但是观察一下请求包:

image-20230525122036977

这里是zip压缩文件的16进制形式,我们使用tshark提取出来:

1
tshark -r flow.pcapng -T fields -Y "dns.flags.response == 1" -e dns.qry.name > data.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
504b03041400090.evil.me
008003c1bee5204.evil.me
212ed6340000002.evil.me
600000008000000.evil.me
666c61672e74787.evil.me
4c6060a3144f6c4.evil.me
9c5bc8305e76f33.evil.me
4670b51c53ce58f.evil.me
f0eb452daa8cc63.evil.me
07fa2e2e4fad9c6.evil.me
2587a0a6e29c0e3.evil.me
0e71dc6505d2c24.evil.me
504b070804212ed.evil.me
634000000260000.evil.me
00504b01021f001.evil.me
400090008003c1b.evil.me
ee5204212ed6340.evil.me
000002600000008.evil.me
002400000000000.evil.me
000200000000000.evil.me
0000666c61672e7.evil.me
478740a00200000.evil.me
000000010018005.evil.me
6f63fe71c78d701.evil.me
56f63fe71c78d70.evil.me
16bd2d4340e78d7.evil.me
01504b050600000.evil.me
000010001005a00.evil.me
00006a000000000.evil.me

然后写python脚本转为zip压缩包:

1
2
3
4
5
6
7
8
9
10
11
12
import binascii

f = open("C://Users/LIKE/Desktop/data.txt", "r")
fw = open("C://Users/LIKE/Desktop/data.zip", "wb")
lines = f.readlines()
s = ""
for line in lines:
    line = line.replace("\n","")[:15]
    s += line

s += "0"
fw.write(binascii.unhexlify(s))

压缩包密码爆破一下,大小写得flag

image-20230525122305976

mylog

image-20230525122424137

这是一个mysql日志文件

我们使用strings命令过滤一下flag:

image-20230525122506151

找到了有关flag的操作,我们只需要拼接一下就行 , year(now()) = 2023

flag{heidun_2023_heidun}

CTF
#闽盾杯初赛
闽盾杯初赛
https://leekosss.github.io/2023/08/24/闽盾杯初赛/
作者
leekos
发布于
2023年8月24日
更新于
2023年6月5日
许可协议