Traffic_Analysis

360CTF 流量分析题WriteUp

第一步、分析流量

我们用WireShark打开流量包,结合题目描述,发现是攻击者进行SQL布尔盲注的一系列流量。 我们提取其HTTP的数据包,可以清晰地看到攻击者盲注过程,其中,我们可以看到ctf.flag库中存在两个字段,分别是url与passwd。 然后通过攻击者盲注的流量,再根据回显的结果,可以得到URL字段的值为: t.cn/Ai8PhqSb passwd字段值为: bkis 我们访问这个网页,然后是一个下载链接,输入密码后即可下载到 flag.zip 我们打开这个文件会看到文件里面有flag.txt和Readme.txt,但是有密码,应该不是让我们爆破。正常来说只需要flag.txt即可,Readme.txt显得有些多余,于是想到zip明文攻击。 重新回到攻击流量中,发现攻击者在注入之后还有多余的操作,主要是读取文件夹和读取文件的操作,其中有一步读取了Readme.7z的内容,我们将返回的字节流导出到Readme.7z文件中。 接着可以看到里面有一个Readme.txt,于是就可以对其利用zip明文攻击,得到密码**CtF36o!s0** 用改密码解开flag.zip即可得到flag flag{1d0ea6a36f6aaf7fa5d4b007454227d6}