pwnhub的一道关于流量包的misc

导语

wireshark 一般隐藏数据的方式有两种,一种是文件直接藏在压缩包里面需要导出,另一种是密码分段藏在数据包的一些字段里,需要拼接。这道题都用到了,还用到了Linux的一些命令,感觉质量很高。

寻找隐藏的压缩包

http是超文本传输协议,传送的数据都在这里面,所以过滤http,根据习惯我们找找zip,于是显示过滤器里面输入http contains “zip”,试了无数次,就是找不到,后来无意间尝试了ctrl+f5,跳出了另一个过滤器在右上角,这个过滤器里面有字符串的选项,勾选好然后直接输入zip,立马就跳到了key.zip那个数据包,真的是柳暗花明。
image
右键追踪数据流,改成原始数据,保存为一个文件,然后用hex编辑器去掉压缩包前面的部分再保存就行了。得到了一个秘钥(最基本的导出方法,不多解释)。

寻找另一个线索

再看看有什么信息,发现得到压缩包时请求的是一个叫做key.hacker.com的二级域名,很特殊,如下图:
image
所以想把所有有关这个主域名的请求都过滤出来。先回到最初的页面(左上角轻控股回车)然后用右上角的那个过滤器如下图:
image
image
有两个ip一个是192.168.236.2另一个是192.168.236.145很明显145写着no such name 也就是请求无效的意思,所以确定是192.168.236.2。而且发现这个子域名的奇怪之处,都是由四位数字字母组成的,且字母不超过f,第一感觉就是16进制,看来要拼接。接下来用左上角的过滤器,老方法,ip.dst==192.168.236.2,然后到处特定分组为另一个pcap,这里命名为qweqwe.pcap。

拼接字符串

这里涉及到linux的 strings grep 和 tr的操作参考的是以下链接(官方推荐)

命令如图
image

结果
image
当然这里面有一个比较大的问题是重复,有些是多余的,需要移除,目前没有想到什么比较智能的方法
真实的结果是

1
56544a4763325248566d74594d5374704e464d78633239706369395356445a7462335254536d526e54464644527a564e576c526c6247396e636b56505153746f6545354d57455644624849345755706f5957783159773d3d

大家有什么方法和思路欢迎在下方评论交流

最后

最后就是hex转字符串,再base64解码,在用之前的秘钥解密AES

补充一些知识

1.strings

打印文件中可打印的字符

2.|管道符

把前一个的输出作为后一个的输入

3.grep

Linux系统中grep命令是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹 配的行打印出来。grep全称是Global Regular Expression Print,表示全局正则表达式版本,它的使用权限是所有用户。
1.命令格式:

grep [option] pattern file

2.命令功能:

用于过滤/搜索的特定字符。可使用正则表达式能多种命令配合使用,使用上十分灵活。

3.命令参数:

-a –text #不要忽略二进制的数据。

-A<显示行数> –after-context=<显示行数> #除了显示符合范本样式的那一列之外,并显示该行之后的内容。

-b –byte-offset #在显示符合样式的那一行之前,标示出该行第一个字符的编号。

-B<显示行数> –before-context=<显示行数> #除了显示符合样式的那一行之外,并显示该行之前的内容。

-c –count #计算符合样式的列数。

-C<显示行数> –context=<显示行数>或-<显示行数> #除了显示符合样式的那一行之外,并显示该行之前后的内容。

-d <动作> –directories=<动作> #当指定要查找的是目录而非文件时,必须使用这项参数,否则grep指令将回报信息并停止动作。

-e<范本样式> –regexp=<范本样式> #指定字符串做为查找文件内容的样式。

-E –extended-regexp #将样式为延伸的普通表示法来使用。

-f<规则文件> –file=<规则文件> #指定规则文件,其内容含有一个或多个规则样式,让grep查找符合规则条件的文件内容,格式为每行一个规则样式。

-F –fixed-regexp #将样式视为固定字符串的列表。

-G –basic-regexp #将样式视为普通的表示法来使用。

-h –no-filename #在显示符合样式的那一行之前,不标示该行所属的文件名称。

-H –with-filename #在显示符合样式的那一行之前,表示该行所属的文件名称。

-i –ignore-case #忽略字符大小写的差别。

-l –file-with-matches #列出文件内容符合指定的样式的文件名称。

-L –files-without-match #列出文件内容不符合指定的样式的文件名称。

-n –line-number #在显示符合样式的那一行之前,标示出该行的列数编号。

-q –quiet或–silent #不显示任何信息。

-r –recursive #此参数的效果和指定“-d recurse”参数相同。

-s –no-messages #不显示错误信息。

-v –revert-match #显示不包含匹配文本的所有行。

-V –version #显示版本信息。

-w –word-regexp #只显示全字符合的列。

-x –line-regexp #只显示全列符合的列。

-y #此参数的效果和指定“-i”参数相同。

4.规则表达式:

grep的规则表达式:

^ #锚定行的开始 如:’^grep’匹配所有以grep开头的行。

$ #锚定行的结束 如:’grep$’匹配所有以grep结尾的行。

. #匹配一个非换行符的字符 如:’gr.p’匹配gr后接一个任意字符,然后是p。

  • #匹配零个或多个先前字符 如:’*grep’匹配所有一个或多个空格后紧跟grep的行。

.* #一起用代表任意字符。

[] #匹配一个指定范围内的字符,如’[Gg]rep’匹配Grep和grep。

[^] #匹配一个不在指定范围内的字符,如:’[^A-FH-Z]rep’匹配不包含A-R和T-Z的一个字母开头,紧跟rep的行。

(..) #标记匹配字符,如’(love)‘,love被标记为1。

\< #锚定单词的开始,如:’\<grep’匹配包含以grep开头的单词的行。

> #锚定单词的结束,如’grep>‘匹配包含以grep结尾的单词的行。

x{m} #重复字符x,m次,如:’0{5}‘匹配包含5个o的行。

x{m,} #重复字符x,至少m次,如:’o{5,}‘匹配至少有5个o的行。

x{m,n} #重复字符x,至少m次,不多于n次,如:’o{5,10}‘匹配5–10个o的行。

\w #匹配文字和数字字符,也就是[A-Za-z0-9],如:’G\w*p’匹配以G后跟零个或多个文字或数字字符,然后是p。

\W #\w的反置形式,匹配一个或多个非单词字符,如点号句号等。

\b #单词锁定符,如: ‘\bgrep\b’只匹配grep。

POSIX字符:

为了在不同国家的字符编码中保持一至,POSIX(The Portable Operating System Interface)增加了特殊的字符类,如[:alnum:]是[A-Za-z0-9]的另一个写法。要把它们放到[]号内才能成为正则表达式,如[A- Za-z0-9]或[[:alnum:]]。在linux下的grep除fgrep外,都支持POSIX的字符类。

[:alnum:] #文字数字字符

[:alpha:] #文字字符

[:digit:] #数字字符

[:graph:] #非空字符(非空格、控制字符)

[:lower:] #小写字符

[:cntrl:] #控制字符

[:print:] #非空字符(包括空格)

[:punct:] #标点符号

[:space:] #所有空白字符(新行,空格,制表符)

[:upper:] #大写字符

[:xdigit:] #十六进制数字(0-9,a-f,A-F)

5.使用实例:

实例1:查找指定进程

命令:

ps -ef|grep svn

输出:

[root@localhost ~]# ps -ef|grep svn

root 4943 1 0 Dec05 ? 00:00:00 svnserve -d -r /opt/svndata/grape/

root 16867 16838 0 19:53 pts/0 00:00:00 grep svn

[root@localhost ~]#

说明:

第一条记录是查找出的进程;第二条结果是grep进程本身,并非真正要找的进程。

实例2:查找指定进程个数

命令:

ps -ef|grep svn -c

ps -ef|grep -c svn

输出:

[root@localhost ~]# ps -ef|grep svn -c

2

[root@localhost ~]# ps -ef|grep -c svn

2

[root@localhost ~]#

说明:

实例3:从文件中读取关键词进行搜索

命令:

cat test.txt | grep -f test2.txt

输出:

[root@localhost test]# cat test.txt

hnlinux

peida.cnblogs.com

ubuntu

ubuntu linux

redhat

Redhat

linuxmint

[root@localhost test]# cat test2.txt

linux

Redhat

[root@localhost test]# cat test.txt | grep -f test2.txt

hnlinux

ubuntu linux

Redhat

linuxmint

[root@localhost test]#

说明:

输出test.txt文件中含有从test2.txt文件中读取出的关键词的内容行

实例3:从文件中读取关键词进行搜索 且显示行号

命令:

cat test.txt | grep -nf test2.txt

输出:

[root@localhost test]# cat test.txt

hnlinux

peida.cnblogs.com

ubuntu

ubuntu linux

redhat

Redhat

linuxmint

[root@localhost test]# cat test2.txt

linux

Redhat

[root@localhost test]# cat test.txt | grep -nf test2.txt

1:hnlinux

4:ubuntu linux

6:Redhat

7:linuxmint

[root@localhost test]#

说明:

输出test.txt文件中含有从test2.txt文件中读取出的关键词的内容行,并显示每一行的行号

实例5:从文件中查找关键词

命令:

grep ‘linux’ test.txt

输出:

[root@localhost test]# grep ‘linux’ test.txt

hnlinux

ubuntu linux

linuxmint

[root@localhost test]# grep -n ‘linux’ test.txt

1:hnlinux

4:ubuntu linux

7:linuxmint

[root@localhost test]#

说明:

实例6:从多个文件中查找关键词

命令:

grep ‘linux’ test.txt test2.txt

输出:

[root@localhost test]# grep -n ‘linux’ test.txt test2.txt

test.txt:1:hnlinux

test.txt:4:ubuntu linux

test.txt:7:linuxmint

test2.txt:1:linux

[root@localhost test]# grep ‘linux’ test.txt test2.txt

test.txt:hnlinux

test.txt:ubuntu linux

test.txt:linuxmint

test2.txt:linux

[root@localhost test]#

说明:

多文件时,输出查询到的信息内容行时,会把文件的命名在行最前面输出并且加上”:”作为标示符

实例7:grep不显示本身进程

命令:

ps aux|grep [s]sh

ps aux | grep ssh | grep -v “grep”

输出:

[root@localhost test]# ps aux|grep ssh

root 2720 0.0 0.0 62656 1212 ? Ss Nov02 0:00 /usr/sbin/sshd

root 16834 0.0 0.0 88088 3288 ? Ss 19:53 0:00 sshd: root@pts/0

root 16901 0.0 0.0 61180 764 pts/0 S+ 20:31 0:00 grep ssh

[root@localhost test]# ps aux|grep [s]sh]

[root@localhost test]# ps aux|grep [s]sh

root 2720 0.0 0.0 62656 1212 ? Ss Nov02 0:00 /usr/sbin/sshd

root 16834 0.0 0.0 88088 3288 ? Ss 19:53 0:00 sshd: root@pts/0

[root@localhost test]# ps aux | grep ssh | grep -v “grep”

root 2720 0.0 0.0 62656 1212 ? Ss Nov02 0:00 /usr/sbin/sshd

root 16834 0.0 0.0 88088 3288 ? Ss 19:53 0:00 sshd: root@pts/0

说明:

实例8:找出已u开头的行内容

命令:

cat test.txt |grep ^u

输出:

[root@localhost test]# cat test.txt |grep ^u

ubuntu

ubuntu linux

[root@localhost test]#

说明:

实例9:输出非u开头的行内容

命令:

cat test.txt |grep ^[^u]

输出:

[root@localhost test]# cat test.txt |grep ^[^u]

hnlinux

peida.cnblogs.com

redhat

Redhat

linuxmint

[root@localhost test]#

说明:

实例10:输出以hat结尾的行内容

命令:

cat test.txt |grep hat$

输出:

[root@localhost test]# cat test.txt |grep hat$

redhat

Redhat

[root@localhost test]#

说明:

实例11:输出ip地址

命令:

ifconfig eth0|grep -E "([0-9]{1,3}\.){3}[0-9]"

输出:

[root@localhost test]# ifconfig eth0|grep “[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}“

inet addr:192.168.120.204  Bcast:192.168.120.255  Mask:255.255.255.0

[root@localhost test]# ifconfig eth0|grep -E “([0-9]{1,3}.){3}[0-9]”

inet addr:192.168.120.204  Bcast:192.168.120.255  Mask:255.255.255.0

[root@localhost test]#

说明:

实例12:显示包含ed或者at字符的内容行

命令:

cat test.txt |grep -E “ed|at”

输出:

[root@localhost test]# cat test.txt |grep -E “peida|com”

peida.cnblogs.com

[root@localhost test]# cat test.txt |grep -E “ed|at”

redhat

Redhat

[root@localhost test]#

说明:

实例13:显示当前目录下面以.txt 结尾的文件中的所有包含每个字符串至少有7个连续小写字符的字符串的行

命令:

grep ‘[a-z]{7}‘ *.txt

输出:

[root@localhost test]# grep ‘[a-z]{7}‘ *.txt

test.txt:hnlinux

test.txt:peida.cnblogs.com

test.txt:linuxmint

[root@localhost test]#

实例14:日志文件过大,不好查看,我们要从中查看自己想要的内容,或者得到同一类数据,比如说没有404日志信息的

命令:

grep ‘.’ access1.log|grep -Ev ‘404’ > access2.log

grep ‘.’ access1.log|grep -Ev ‘(404|/photo/|/css/)’ > access2.log

grep ‘.’ access1.log|grep -E ‘404’ > access2.log

输出:

[root@localhost test]# grep “.”access1.log|grep -Ev “404” > access2.log

说明:上面3句命令前面两句是在当前目录下对access1.log文件进行查找,找到那些不包含404的行,把它们放到access2.log中,后面去掉’v’,即是把有404的行放入access2.log

4.tr

tr命令可以对来自标准输入的字符进行替换、压缩和删除。它可以将一组字符变成另一组字符,经常用来编写优美的单行命令,作用很强大

参数:

-c或——complerment:取代所有不属于第一字符集的字符;

-d或——delete:删除所有属于第一字符集的字符;

-s或–squeeze-repeats:把连续重复的字符以单独一个字符表示;

-t或–truncate-set1:先删除第一字符集较第二字符集多出的字符。

总结

pwnhub题目的质量还是相当高的,很多奇淫技巧有待发掘,以后要多多关注。

本文的参考链接:


文章目录
  1. 1. 导语
  2. 2. 寻找隐藏的压缩包
  3. 3. 寻找另一个线索
  4. 4. 拼接字符串
  5. 5. 最后
  6. 6. 补充一些知识
    1. 6.1. 1.strings
    2. 6.2. 2.|管道符
    3. 6.3. 3.grep
    4. 6.4. 4.tr
  7. 7. 总结
|