

Traffic_Analysis

360CTF 流量分析题WriteUp

第一步、分析流量

我们用WireShark打开流量包，结合题目描述，发现是攻击者进行SQL布尔盲注的一系列流量。 我们提取其HTTP的数据包，可以清晰地看到攻击者盲注过程，其中，我们可以看到ctf.flag库中存在两个字段，分别是url与passwd。 然后通过攻击者盲注的流量，再根据回显的结果，可以得到URL字段的值为： t.cn/Ai8PhqSb passwd字段值为： bkis 我们访问这个网页，然后是一个下载链接，输入密码后即可下载到 flag.zip 我们打开这个文件会看到文件里面有flag.txt和Readme.txt，但是有密码，应该不是让我们爆破。正常来说只需要flag.txt即可，Readme.txt显得有些多余，于是想到zip明文攻击。 重新回到攻击流量中，发现攻击者在注入之后还有多余的操作，主要是读取文件夹和读取文件的操作，其中有一步读取了Readme.7z的内容，我们将返回的字节流导出到Readme.7z文件中。 接着可以看到里面有一个Readme.txt，于是就可以对其利用zip明文攻击，得到密码**CtF36o!s0** 用改密码解开flag.zip即可得到flag flag{1d0ea6a36f6aaf7fa5d4b007454227d6}