Bugku：分析 抓到一只苍蝇

​这道题总觉得和苍蝇有关啊

 

看到很多很多的包，感觉头大。

 

查了一下网上大佬的wp，又学到了一个指令

先选择文件，导出对象，HTTP。

 

 

打开之后就能看到很多具体的文件？比一条一条的协议少多了。

这时候就能看出来，有qq.com，有mail.qq.com，就是在发送收取邮件的感觉。

所以用到了新工具，http.request.method==POST。

让我们看看它POST了什么东西。不难发现，里面出现了一个fly.rar文件，咦，这不就是传说中的苍蝇吗！！！

下面还有5个一样发送地址的包，看了一下，好像有很多字符，感觉是fly.rar文件的内容，所以得将这5个包拼接起来。

 

这里大佬说要去掉相同的文件头，不能直接拼接。

怎么看到文件头是什么呢？

 

在第一个包的Data可以看到是131436 bytes

接下来的3个包也都是这个长度，直到最后一个包

 

5个包总长度为：131436 * 4 + 1777 = 527521

 

接下来用ctrl+f 搜索 logattsize，传输的文件大小参数。

 

看到大小是525701，所以文件头大小为：527521 - 525701 = 1820。

 

1820 / 5 = 364 。

 

现在开始操作了。还是在刚才导出文件的地方，根据前面的编号，选择这5个包文件进行导出。

保存到一个文件夹之后，

放到kali虚拟机里，进行文件分割，把文件头部分清楚之后进行合并。

dd if=文件名 bs=1 skip=364 of=需要保存的文件名

 

bs为字符块，这里要1块1块分，除了skip跳过字节头之外全部保存，所以bs=1。

 

然后用cat命令 cat 文件1 文件2 > 文件1 合并文件。

放回windows之后，打开

又是熟悉的味道，伪加密的星星符号

但是这次不能直接修复了，直接修复之后并没有文件，所以这就是奇怪的地方。因为这是rar伪加密，不是zip伪加密，难怪不能直接修改。

 

用010editor打开压缩文件，

修改这个地方的88为80。

 

之后就可以打开了，

 

打开这个txt文件之后，发现里面有提示在win32下运行，也就是说是exe运行文件。

 

修改为exe文件之后，放到kali系统中，使用foremost进行文件检测和分割。

foremost -i flag.exe

自动生成一个output文件夹，里面就有png格式的文件，打开之后

 

满目苍蝇，在最后发现了不一样的东西！！！二维码！！

 

扫描这个二维码，

 

得到flag

flag{m1Sc_oxO2_Fly}

 

欢迎关注我的微信公众号！！~~

一起快落学习CTF吧！！~~ (*^▽^*)

学而不思则罔，思而不学则殆。