今天学习的题目是流量分析题,特点是将数据信息进行压缩后再进行传输。
题目:找到传输的秘密
用wireshark打开流量包以后发现有很多协议和数据包,这里看到有http的,并且还有404和200的响应包,所以就跟踪一下这个响应200的数据包,发现如下信息:
有一个base64编码的字符串
在请求中有GET /?c=print_r(gzcompress(file_get_contents(base64_decode(%22ZmxhZy50eHQ%22))));这样一串代码,我先解码“ZmxhZy50eHQ”,发现是flag.txt,那就一定是从这里入手,在响应的数据中截取十六进制,得到如下内容
响应内容
用binwalk进行分析后发现是一个zlib的压缩,想我好长时间想要解这个压缩都没有成功,后来回过头来看这个请求php代码发现这里有一个gzcompress()函数,查看了一下帮助
它是给字符串进行zlib压缩格式的函数
在帮助文档中有一个是函数应该是解压函数(由于我php还是不很熟悉,所以这里就照着上面的请求字符串编写)
解压函数
代码如下:
<?php
$a = file_get_contents('flag.txt');
echo gzuncompress($a);
?>
flag值
总结:
在流量分析题中,有时流量包中可以用binwalk就可以提取出文件来,但有时文件是包含在流量的十六进制中,要用对流量包进行分析后才可以提取出文件来。zlib解压文件它是需要特定的解压函数才可以进行解压的,所以我们需要对流量包进行仔细分析才能很快的找到flag。
