June 做题笔记
5月好忙,都没怎么写题了,6月一定好好做题,好好写博客💪
CovertChannel
这道题是2026御网杯数据安全赛里面的题目
1 | 题目内容:安全运营中心(SOC)在部署的网络探针中捕获了一段可疑流量。威胁情报分析师发现一台内网终端(10.10.20.33)在短时间内发送了大量异常的ICMP和DNS请求。初步研判为APT组织利用多种隐蔽信道进行数据外泄。请深入分析该流量捕获文件,还原被窃取的敏感数据。 |
TTL隐写
拿到附件,发现里面有ICMP流(DNA动了,发现流量包里面有ICMP流就直接滤过看看有什么东西🫡)
粗略扫视了一下,发现有一个地址的数据包TTL不断出现01,非常可疑,将地址重新排序,好家伙,地址为45.76.188.23的数据包的TTL全是01!直接搞个脚本提取出来
1 | from scapy.all import rdpcap, IP, ICMP |
解码出密文
拿到这一串01编码我也好懵,不知道该怎么进行下一步,只好用出我cyberchef的magic大法了
1 | 001101100011000000110010001100100011011001100100001100110110001101100100001100110110001101100110001100110011010000110101011001000110011000110000011000100110000101100001001100110110001100111000011001000110010101100011001100000110010000111001011001000011001000110010001101010110001000110011011001100110011000111001001100010011011000110011001101000011010000111001001110000110010001100010001101000110011000110101011000010011011101100100001101000011010000110101001100100110010001100100001100010110000100110010011000110011001000110000001110000110010000110100011001010110011001100011001110010110010001100001001101110011001101100101011000100011100000111000001110000011010001100110011000100011011000111001011000110011001101100010001100010011001000110000001100100110001100110101011111000100000101000101010100110010110101000101010000110100001000101100001000000110101101100101011110010010000001101001011100110010000001101001011011100010000001000100010011100101001100100000010101000101100001010100 |
得到密文跟密钥所在地方的提示
AES解密
根据提示搜索txt里面有一串base64编码
1 | TW9yZVNlY3VyZUFlczEyOA== |
解码后得到密钥是MoreSecureAes128
解密脚本
1 | from Crypto.Cipher import AES |
1 | flag{5f356e09a565c656c6d8ae31f7973452} |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Sonh's Blog!
相关推荐
2026-03-02
BUUCTF-WEEK2做题笔记
被偷走的文件拿到流量包,在Wireshark里面搜索字符串flag,可以看到一条流量包含flag.rar,但是里面并没有什么东西,只是一些文本 既然我们已经知道传输了一个rar压缩包,那我们就直接搜rar字符串,找到了rar包的真实数据,导出后用cyberchef转换成压缩包 打开发现压缩包被加密,暴力破解后拿到密钥5790 打开压缩包拿到flag 刷新过的图片刷新?jpg?会不会是F5隐写呢? 在F5工具包中放入题目所给的jpg,在运行命令行指令 1java Extract Misc.jpg 打开提取出来的文本文档,发现其实是一个压缩包,改了后缀名后发现压缩包被加密了,其实是伪加密 在010里面改完之后打开拿到flag 菜刀666过滤http流,发现有好多post,那就直接过滤出post 1http.request.method == POST 在滤出结果中发现有一条流量包的大小比其他的包大好多,追踪一下该包,发现传输了一张jpg图片,将数据以raw导出转成图片 1FFD8FFE000104A46494600010101007800780000FFDB004300...
2026-02-13
流量分析(一)
粗略扫视 用Wireshark打开流量包,在过滤器中输入http进行筛选,发现并没有什么特别明显的flag相关信息,只是一些普通的请求 进一步搜索并进行追踪流过滤ftp协议请求,发现操作者进行了一次登录请求,然后登录成功,在这些请求里面我们发现了README.txt文件,还有一个secret.zip,盲猜.txt文件里面有.zip的密钥,那我们就把这两个文件都提取出来。 选择tcp追踪流,并导出.zip的原始数据(好明显的504b啊) 1504b0304140001000000386e2e57dcdeb18b320000002600000008000000666c61672e74787479c647b151652cce18a0efa4e90dbb3bfa84b67de8adc4218a4de1df8abf08097c449a7ae84b15b903d4b3df9ac1866fc323504b01023f00140001000000386e2e57dcdeb18b320000002600000008002400000000000000200000000000000066...
2026-04-07
April-WEEK2做题笔记
听说你喜欢爆破题目链接ctf.show Outguess隐写尝试密钥123456拿到题目附件名称是guess.jpg,想到可能是outguess隐写,那提取的密钥是什么呢,先试试弱口令123456再说,但是很明显没有提取出来任何东西。 从图片寻找密钥接着从图片里面找线索,图片主体是炸弹💣,而且发现压缩包的备注是你能猜到这八位数日期吗?,直接在浏览器搜一下炸弹发明人看看能出来哪些日期,一搜就出来了 尝试一下18331021,依旧没有提取出任何东西,再尝试一下18961210,提取出来一个蓝奏云下载的链接 1https://www.lanzous.com/ia38dcb 修复宽高拿到下载的附件后发现是一张小的不行的图片。emm…想都不想直接丢随波逐流,修复宽高后得到一张欠揍的图片 MD5爆破看图片说是要md5爆破,我们找一个网站直接爆https://www.somd5.com/ 得到又是一个蓝奏云链接… 1https://www.lanzous.com/ia35tmj rockyou爆破拿到附件之后打开发现备注写着开始表演,再联系题目听说你喜欢爆破,就接着用rock...
2026-02-15
流量分析(二)
被加密的生产流量题目链接:[CISCN 2023 初赛]被加密的生产流量 | NSSCTF 某安全部门发现某涉密工厂生产人员偷偷通过生产网络传输数据给不明人员,通过技术手段截获出一段通讯流量,但是其中的关键信息被进行了加密,请你根据流量包的内容,找出被加密的信息。得到的flag使用NSSCTF{}格式提交。 初步分析拿到附件看名称为modbus.pcap,再打开流量包看其内容,发现有很多modbus协议,于是过滤modbus协议 发现modbus协议中length为73和66的伴随出现,并且发现每个length=66的流量后面都有两个可疑字符 可疑字符提取这里我采用的是人力提取,也可以写写脚本提取,不过脚本运行可能会遇到tshark路径不正确报错的问题,报错问题可以看看这个博主彻底解决 pyshark 库 TShark not found_pyshark.tshark.tshark.tsharknotfoundexception: tsh-CSDN博客 其实追踪tcp流就可以直接看到所有可以字符 提取出来的字符如下 1MMYWMX3GNEYWOXZRGAYDA==...
2026-05-01
May做题笔记
[安洵杯 2019]Attack题目链接[BUUCTF在线评测](https://buuoj.cn/challenges#[安洵杯 2019]Attack) 拿到流量包附件先用Wireshark打开看看有什么东西,扫了一遍并没有发现什么东西,直接binwalk看看,发现有一个flag.txt文件,尝试用foremost提取一下,提取出来一个压缩包里面有加密的flag.txt。用WinRAR打开看到注释是这可是administrator的秘密,怎么能随便给人看呢? 猜测要通过取证拿到administrator用户密码打开压缩包,导出http流里面的文件,看到有个.dmp文件 用mimikatz进行分析,mimikatz的项目地址ParrotSec/mimikatz 12mimikatz # sekurlsa::minidump lsass.dmpmimikatz # sekurlsa::logonpasswords full 拿到用户密钥W3lc0meToD0g3 打开压缩包后拿到flag 1D0g3{3466b11de8894198af3636c5bd1...
2026-03-30
April-WEEK1做题笔记
注:以下题目均来源于ctf.show misc50题目链接ctf.show 拿到题目附件首先的操作就是丢进随波逐流里面查看一下文件的各种信息 binwalk发现里面有zip还嵌套了rar 把末尾的16进制提取出来并放到cyberchef里面转换出来一个压缩包,压缩包注释是一段base32编码,解码后是123456 输入密钥得到一个txt文件,里面是好多重复数字的文本,发现3078一直重复,3078经过base16解码后刚好是0x,把3078删除后转换成压缩包格式用以下脚本处理后得到.7z 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849import redef decode_ctf_file(): # 你的目标文件路径 input_path = r"...\thienc.txt" output_path = "test.txt" try: # 1. 读取原始十六进制数据 ...
