您现在的位置是:首页 >其他 >2023年宁波市网络安全大赛(天一永安杯)-训练赛网站首页其他

2023年宁波市网络安全大赛(天一永安杯)-训练赛

北子Beizi 2024-06-17 10:43:16
简介2023年宁波市网络安全大赛(天一永安杯)-训练赛

2023年宁波市赛-训练赛-MISC

写给新生看的,步骤又乱又多,不喜勿喷,我也不改,爱看不看。

welcome

image-20230509195231715

题型:流量分析

首先进行协议分级:

image-20230509195311947

发现TCP协议为主(占78.5%),ARP协议占(19.4%)

注:

TCP(Transmission Control Protocol,传输控制协议)是一种网络传输层协议,它提供了可靠的、面向连接的、基于字节流的数据传输服务。TCP 协议是因特网协议族中最重要的协议之一。

ARP是地址解析协议(Address Resolution Protocol)的缩写,它是一种解决局域网上IP地址和MAC地址之间映射关系的协议。ARP协议的作用是将网络层(OSI模型中的第三层)的IP地址转换成数据链路层(OSI模型中的第二层)所需要的物理地址(MAC地址)。

因此我们重点关注TCP协议的内容

追踪TCP协议:

image-20230509195554295

右下角一个一个翻即可

image-20230509195627135

流1内容如下:

.]0;root@ubuntu: /.root@ubuntu:/# ls
ls
bin
boot
cdrom
dev
etc
flag
home
lib
lib32
lib64
libx32
lost+found
media
mnt
opt
patch
proc
root
run
sbin
snap
srv
swapfile
sys
tmp
usr
var
www
.]0;root@ubuntu: /.root@ubuntu:/# head -n 1 flag
head -n 1 flag
flag{fea4087d-6d95-4d85
.]0;root@ubuntu: /.root@ubuntu:/# whoami
whoami
root
.]0;root@ubuntu: /.root@ubuntu:/# rar a flag.rar flag -pda19b65c17dc
rar a flag.rar flag -pda19b65c17dc

RAR 5.50   Copyright (c) 1993-2017 Alexander Roshal   11 Aug 2017
Trial version             Type 'rar -?' for help

Evaluation copy. Please register.

Creating archive flag.rar

Adding    flag                                                           ....100%.....  OK 
Done
.]0;root@ubuntu: /.root@ubuntu:/# cat flag.rar
cat flag.rar
Rar!....3...
..........@A..S..<.........1......flag0.....!..<............m......	..j.*[lP]V..?@2...P
.....beI.(4.<..,..?|......X..v.8..+..."5.0....J.F..8J$...!>....0X...^. .W*.wVQ.....]0;root@ubuntu: /.root@ubuntu:/# exit
exit
exit

显然发现一个压缩文件的指令,和一个文件名字flag.rar

rar a flag.rar flag -pda19b65c17dc

密码为da19b65c17dc

继续搜索相关文件

在分组字节流当中搜索字符串

发现改文件

image-20230509195942104

导出分组字节流

image-20230509200021988

显示为原始数据,然后导出文件,另存为flag.rar即可

image-20230509200105945

导出文件,内容如下

image-20230509200135615

使用密码进行解压:

image-20230509200211641

拿到flag

misc1

仍然是流量题目

协议分级,发现以FTP协议为主

image-20230509203020613

FTP(File Transfer Protocol,文件传输协议)是一种用于在网络上进行文件传输的协议。它最初由美国的提高学习项目研制开发,早期主要用于计算机间的文件传输。

FTP协议采用客户端-服务器模式,一般由客户端发起连接请求,服务器接受请求后建立连接。在这个连接上,客户端可以发送各种FTP命令来控制文件的传输和管理。FTP协议支持两种数据传输模式:ASCII码模式和二进制模式,前者主要用于文本文件,后者则主要用于图像、音频、视频等非文本文件的传输。

既然是以FTP协议为主,显然是客户端与服务器之间发生了文件传输,因此我们重点分析FTP协议

过滤器过滤相关协议

image-20230509203217258

相关流量不是很多,可以一条一条的分析

通过分析,基本指令有这些:

  1. Request command: noop

NOOP(No Operation)是FTP命令之一,它的作用是在FTP服务器上进行空操作,不执行任何实际操作。该命令通常被用来保持FTP控制连接处于打开状态,以防止连接超时而被关闭。

紧接着可以看到200 NOOP command successful. ,显然是指令完成了。

  1. Request command: CWD

CWD (Change Working Directory) 是FTP命令之一,用于更改当前工作目录。在FTP客户端与服务器建立连接后,默认情况下,客户端的当前工作目录与服务器上的根目录相同。通过使用 CWD 命令,客户端可以在服务器上切换到不同的目录,以便对该目录下的文件进行操作。

看得到该指令将当前的工作目录改为了/题目/

  1. Request command: PWD

PWD (Print Working Directory) 是 FTP 命令之一,用于查看当前工作目录。在客户端与FTP服务器建立连接后,默认情况下,客户端的当前工作目录与服务器上的根目录相同。通过使用 PWD 命令,客户端可以查询当前所处的目录位置。

返回包显然是返回当前的工作目录为:/题目/

  1. Request command: TYPE I

TYPE (Transfer Type) 是 FTP 命令之一,用于指定数据传输的类型。其中,I 表示二进制类型(binary type),也称为图像类型或字节类型。二进制类型用于传输非文本文件(例如图像、音频、视频等),可以确保文件在传输过程中不会被破坏或改变。

这个指令的意思是,接下来就要传输二进制数据了

  1. Request command: PASV

PASV (Passive) 是 FTP 命令之一,用于在被动模式下向服务器发送数据传输请求。FTP 协议中有两种数据传输模式:主动模式和被动模式。在主动模式下,客户端连接到服务器的 TCP 端口 20 上,并通过该端口向服务器发送数据。而在被动模式下,客户端不再主动连接服务器的 TCP 端口 20,而是由服务器决定使用哪个 TCP 端口进行数据传输。

  1. Request command: SIZE flag.zip

SIZE 是 FTP 命令之一,用于查询一个文件的大小。可以使用 SIZE 命令查看服务器上某个文件的字节数,以便在下载文件之前计算出需要的时间和空间。

返回包中发现Response: 213 270335,213是状态码,代表服务器收到了客户端的请求,数字 “270335” 表示文件的大小,单位为字节。

  1. Request: RETR flag.zip

RETR 是 FTP 命令之一,用于从服务器上下载(retrieve)一个文件。使用 RETR 命令时,需要指定要下载的文件名。

这里显然是要下载 flag.zip文件

命令分析完了,接下来就需要找到这个flag.zip文件

在分组字节流当中搜索文本flag.zip

image-20230509204200030

通过学习FTP-DATA协议

FTP-DATA 是 FTP 协议中的一种数据传输模式,用于在 FTP 客户端和服务器之间传输文件数据。在 FTP-DATA 模式下,客户端和服务器分别使用不同的 TCP 端口进行数据传输。

具体来说,当客户端向服务器发送 RETR 命令时,服务器会返回包含 IP 地址和端口号的 PASV 响应消息。客户端需要根据该响应消息建立一个新的数据连接,并将数据从服务器上下载到本地计算机。在下载过程中,客户端通过控制连接与服务器保持联系,在数据连接上进行数据传输。

里面的内容显然是传输的文件flag.zip

FTP协议是以TCP协议封装起来的,直接追踪TCP协议即可

image-20230509204407120

发现PK头

image-20230509204431735

显示为原始数据,然后导出为out.zip即可

image-20230509204535248

打开压缩文件如下

image-20230509204559194

解压出password

发现文件头有问题

image-20230509204642643

补充FF D8

另存为password.jpg

image-20230509204718391

能够正常打开

image-20230509204743435

显然高度有问题,经过尝试,修复出正常的高度,为720

image-20230509204834084

拿到一个密码202208041314

然后分析对jpg文件的隐写方式,发现是steghide隐写

9b78a6303730af1b6fbb4ab5795cbc9

这里有一个坑点:必须修复出正确的高度,才能够进行隐写解密。

拿到密码是60c497bc1938c8d4

然后解压出flag

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。