0x00 已知條件
已知條件依然是一個流量包,解壓縮即可得到。
0x01 思考過程
- 首先使用類似“Strings”大法的方法直接搜索關鍵詞“flag”,無果。
它只作為變量出現在許多JS函數中,并不明文存在于流量包中。 - 既然是“Webshell”分析,flag同樣是MD5形式,想到很可能仍與HTTP有關。
下面過濾只顯示HTTP數據幀。
- 發現大部分是GET,打開完整url后都是各種謎一樣的無關圖片,比如:
image.png
- 心塞,不去管它。
第一個包是POST請求,里面有個很明顯的base64加密串:
image.png
解碼:
[Python]
import base64
print base64.b64decode("MTQ2MDA3NTkyODYzMToyMzcyMTkyNQ==")
得到結果:
1460075928631:23721925
多半沒有幫助,放棄。
- 發現POST請求包很少,而居多的GET都沒有什么特別的內容。
一直看到最下面,發現一個數據幀帶有“flag”這個詞,然而并未承載特別的載荷:(
最后一個POST包,最下面出現了其他包沒有的“HTML Form URL Encoded”字段:
image.png
用同上的方法嘗試base64解碼,結果如下:
https://dn.jarvisoj.com/challengefiles/AbTzA2YteFjGhPWCftraouVD3B684a9A.jpg
進入該網站,出現一個二維碼,掃進去得到flag。
