文章描述了一次Smailsword挑战中的过程,涉及SQL注入、网络流量分析、PE文件识别、图片隐藏、解码操作,如Base64解码、CRC校验等,以及如何追踪和解析不同类型的文件内容。
SMAILSWORD1
先过滤 http
明显是sqllib第7题,sql注入写shell
将数据复制出来,灰色部分为连接的密码。6ea280898e404bfabd0ebb702327b18f,注意不包含前面的22
tcp contains "$_POST"
更简单的筛选方法,直接筛选写shell的$_POST
SMAILSWORD2
http.request.uri matches "info1.php"
这里筛选出木马的流量,做题没找到,实际上是在tcp.stream eq 143 第二项的数据,base64解码,其他的数据都是一致的D:/phpStudy/PHPTutorial/WWW/sqlii/Less-7/ 这些
YWQ2MjY5YjctM2NlMi00YWU4LWI5N2YtZjI1OTUxNWU3YTkxIA==
ad6269b7-3ce2-4ae8-b97f-f259515e7a91
SMAILSWORD3
浏览这些包、以及之前base64解码的内容,能看到有个huorong.exe
追踪TCP流,能看到明显是个PE文件
查看原始数据,先筛选0d0a0d0a定位
根据PE文件头介绍,开头是4d5a
只要从4d5a之后的数据
转化成
with open('hexdata.txt', 'r') as f: with open('1.exe', 'wb') as f1: lines = f.readlines() for line in lines: line = line.strip() f1.write(bytes.fromhex(line))
但是没有路径,也没看到同路径下有图片
发现放到这里了....................
打开之后没啥东西
看了网上的内容,发现这其实是个PNG图片...用010editor发现CRC校验报错,推测修改了图片高度
打开HXD一看,确实,修改了高度
flag3{8f0dffac-5801-44a9-bd49-e66192ce4f57}
smailsword这个题的流程较多,虽然每一步都不难,但是没有什么提示。
ez_web_1
翻了一下流量,发现有个d00r.php,但是提交报错
tcp contains "d00r.php"
ViewMore.php 是这个写的d00r.php
ez_web_2
这里执行了ipconfig命令,追踪TCP流
在https://craftsmanbai.gitbooks.io/linux-learning-wiki/content/hahah.html查看
gz文件头是1f8b
原始数据,应该是这部分,
解密失败,不过能够确认是这个流
tcp.stream eq 10098
找到http流进行追踪
两个网段,一个是162,另一个是101
192.168.101.132
ez_web_3
tcp contains "d00r.php"
能看到有PK头,有key.txt
看来是个zip包,处理一下数据
回去找数据包
7e03864b0db7e6f9
7d9ddff2-2d67-4eba-9e48-b91c26c42337
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
