這篇博客接著CTF-MISC雜項題1繼續講

03 壓縮文件處理

壓縮文件分析

偽加密一般考察zip與rar，現在不?？?#xff0c;因為現在壓縮軟件功能強大，自動可以識別偽加密





框里的80的尾數為0即可解密，若改了值還報錯，為真加密



3.明文攻擊
明文攻擊指知道加密的ZIP里部分文件的明文內容，利用這些內容推測出密鑰并解密ZIP文件的攻擊方法，相比于暴力破解，這類方法在破解密碼較為復雜的壓縮包時效率更高。
采用場景：已知加密的zip部分文件明文內容
例如：假設一個加密的壓縮包里有兩個文件readme.txt和flag.txt，其里flag.txt的內容為我們希望知道的內容，而我們有readme.txt的明文文件，利用上述兩個文件即可進行明文攻擊。




采用該方法需要注意兩個關鍵點：
1.有一個明文文件，壓縮后CRC值與加密壓縮包里的文件一致
2.明文文件的壓縮算法需要與加密壓縮文件的壓縮算法一致

2345好壓默認壓縮算法為deflate，可以在添加到壓縮文件時在壓縮方法里選不同的算法。
對于2345好壓的store算法，無需修改算法選項卡，在常規選項卡里將壓縮方式設置為存儲即可。

出錯：



修改后：(變動7A為文件頭塊類型)



再把STM加上.png后綴名打開圖片(因為編輯器里顯示STM有png后綴名)

流量取證技術

取證：內存取證，硬盤取證，這些為存儲取證
CTF競賽里，流量包的取證分析為另一項重要的考察方向。
通常競賽里會提供包含流量數據的PCAP文件，有時候也會需要選手們先進行修復或者重構文件后，再進行分析。

競賽里的流量分析可以概括為以下三個方向：
流量包修復
協議分析
數據提取



5.包長度過濾
udp.length == 26 這個長度指udp本身固定長度8加上下面那塊數據包之和
tcp.len >= 7 指的是ip數據包(tcp下面那塊數據)，不包括tcp本身
ip.len == 94 除了以太網頭固定長度，其他都算是ip.len,即從ip本身到最后
frame.len == 119 整個數據包長度，從eth到最后

協議分析：
Statistics->Protocol Hierarchy查看協議分析,若想選某個層次過濾,右鍵->作為過濾器應用

根據數據包特征進行篩選
例如查看數據包的時候，有的數據包有某類特征，如有http(80).就可以篩選這類特征出來。
右鍵->作為過濾器應用

在關注的http數據包或者tcp數據包里選擇流匯聚，可以將HTTP流或者TCP流匯聚或者還原成數據，在彈出的框里可以看到數據內容。

右鍵->追蹤->HTTP流

在彈出的窗口右下方有個“查看下一個”，即可查看下一個包
常見的HTTP流關鍵內容：
1.HTML里直接包含重要的信息
2.上傳或者下載文件內容，通常包含文件名，hash值等關鍵信息
3.一句木馬，POST請求，內容包含eval，內容采用base64加密

在打開的對象列表里找到有價值的文件，如壓縮文件，文本文件，音頻文件，圖片等，點擊savas進行保存，或者saveall保存所有對象再進入文件夾進行分析。

2.wireshark可以手動提取文件內容
點擊想要的數據包，選到media type的位置
右鍵->導出分組字節流或者 點擊 菜單欄文件->導出分組字節流，快捷方式Ctrl+H在彈出的框里將文件保存成二進制文件



協議分析發現只有wireless LAN協議，很可能為WPA或者WEP加密的無線數據包






可以將該域的值在主面板上顯示，鍵盤數據包的數據長度為8個字節，擊鍵信息集合在第3個字節，每次key stroke都會產生一個keyboard event usb packet。

Leftover Capture Data間值與具體鍵位的對應關系，可以參考：


python腳本：


此方法為普方法，不太好用

此方法較為專業
之后：python keybroad.py(keybroad.py為keybroad mapping里寫的python代碼)
root@kali:~#python keybroad.py

鼠標與鍵盤流量不同，鼠標變動表現出連續性，與鍵盤的離散行不同。但實際鼠標產生的數據為離散的。所以同樣可以把數據抓取出來，構成二維坐標做出軌跡。




mouse.py代碼：

if btn_flag需要自行調整0,1,2


之后再在做圖工具里將得到的flag翻轉以下即可

鍵盤和鼠標方法二：

例如方法二的鼠標：


Preferences->Protocols->SSL->Edit RSA keys list

右鍵，點擊追蹤，再點擊SSL流/HTTP流，然后可以看到flag

總結

以上是生活随笔為你收集整理的CTF-MISC杂项题2的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。