pwnhub的一道关于流量包的misc
导语
wireshark 一般隐藏数据的方式有两种,一种是文件直接藏在压缩包里面需要导出,另一种是密码分段藏在数据包的一些字段里,需要拼接。这道题都用到了,还用到了Linux的一些命令,感觉质量很高。
寻找隐藏的压缩包
http是超文本传输协议,传送的数据都在这里面,所以过滤http,根据习惯我们找找zip,于是显示过滤器里面输入http contains “zip”,试了无数次,就是找不到,后来无意间尝试了ctrl+f5,跳出了另一个过滤器在右上角,这个过滤器里面有字符串的选项,勾选好然后直接输入zip,立马就跳到了key.zip那个数据包,真的是柳暗花明。
右键追踪数据流,改成原始数据,保存为一个文件,然后用hex编辑器去掉压缩包前面的部分再保存就行了。得到了一个秘钥(最基本的导出方法,不多解释)。
寻找另一个线索
再看看有什么信息,发现得到压缩包时请求的是一个叫做key.hacker.com的二级域名,很特殊,如下图:
所以想把所有有关这个主域名的请求都过滤出来。先回到最初的页面(左上角轻控股回车)然后用右上角的那个过滤器如下图:
有两个ip一个是192.168.236.2另一个是192.168.236.145很明显145写着no such name 也就是请求无效的意思,所以确定是192.168.236.2。而且发现这个子域名的奇怪之处,都是由四位数字字母组成的,且字母不超过f,第一感觉就是16进制,看来要拼接。接下来用左上角的过滤器,老方法,ip.dst==192.168.236.2,然后到处特定分组为另一个pcap,这里命名为qweqwe.pcap。
拼接字符串
这里涉及到linux的 strings grep 和 tr的操作参考的是以下链接(官方推荐)
命令如图
结果
当然这里面有一个比较大的问题是重复,有些是多余的,需要移除,目前没有想到什么比较智能的方法
真实的结果是1
56544a4763325248566d74594d5374704e464d78633239706369395356445a7462335254536d526e54464644527a564e576c526c6247396e636b56505153746f6545354d57455644624849345755706f5957783159773d3d
大家有什么方法和思路欢迎在下方评论交流
最后
最后就是hex转字符串,再base64解码,在用之前的秘钥解密AES
补充一些知识
1.strings
打印文件中可打印的字符
2.|管道符
把前一个的输出作为后一个的输入
3.grep
Linux系统中grep命令是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹 配的行打印出来。grep全称是Global Regular Expression Print,表示全局正则表达式版本,它的使用权限是所有用户。
1.命令格式:
grep [option] pattern file
2.命令功能:
用于过滤/搜索的特定字符。可使用正则表达式能多种命令配合使用,使用上十分灵活。
3.命令参数:
-a –text #不要忽略二进制的数据。
-A<显示行数> –after-context=<显示行数> #除了显示符合范本样式的那一列之外,并显示该行之后的内容。
-b –byte-offset #在显示符合样式的那一行之前,标示出该行第一个字符的编号。
-B<显示行数> –before-context=<显示行数> #除了显示符合样式的那一行之外,并显示该行之前的内容。
-c –count #计算符合样式的列数。
-C<显示行数> –context=<显示行数>或-<显示行数> #除了显示符合样式的那一行之外,并显示该行之前后的内容。
-d <动作> –directories=<动作> #当指定要查找的是目录而非文件时,必须使用这项参数,否则grep指令将回报信息并停止动作。
-e<范本样式> –regexp=<范本样式> #指定字符串做为查找文件内容的样式。
-E –extended-regexp #将样式为延伸的普通表示法来使用。
-f<规则文件> –file=<规则文件> #指定规则文件,其内容含有一个或多个规则样式,让grep查找符合规则条件的文件内容,格式为每行一个规则样式。
-F –fixed-regexp #将样式视为固定字符串的列表。
-G –basic-regexp #将样式视为普通的表示法来使用。
-h –no-filename #在显示符合样式的那一行之前,不标示该行所属的文件名称。
-H –with-filename #在显示符合样式的那一行之前,表示该行所属的文件名称。
-i –ignore-case #忽略字符大小写的差别。
-l –file-with-matches #列出文件内容符合指定的样式的文件名称。
-L –files-without-match #列出文件内容不符合指定的样式的文件名称。
-n –line-number #在显示符合样式的那一行之前,标示出该行的列数编号。
-q –quiet或–silent #不显示任何信息。
-r –recursive #此参数的效果和指定“-d recurse”参数相同。
-s –no-messages #不显示错误信息。
-v –revert-match #显示不包含匹配文本的所有行。
-V –version #显示版本信息。
-w –word-regexp #只显示全字符合的列。
-x –line-regexp #只显示全列符合的列。
-y #此参数的效果和指定“-i”参数相同。
4.规则表达式:
grep的规则表达式:
^ #锚定行的开始 如:’^grep’匹配所有以grep开头的行。
$ #锚定行的结束 如:’grep$’匹配所有以grep结尾的行。
. #匹配一个非换行符的字符 如:’gr.p’匹配gr后接一个任意字符,然后是p。
- #匹配零个或多个先前字符 如:’*grep’匹配所有一个或多个空格后紧跟grep的行。
.* #一起用代表任意字符。
[] #匹配一个指定范围内的字符,如’[Gg]rep’匹配Grep和grep。
[^] #匹配一个不在指定范围内的字符,如:’[^A-FH-Z]rep’匹配不包含A-R和T-Z的一个字母开头,紧跟rep的行。
(..) #标记匹配字符,如’(love)‘,love被标记为1。
\< #锚定单词的开始,如:’\<grep’匹配包含以grep开头的单词的行。
> #锚定单词的结束,如’grep>‘匹配包含以grep结尾的单词的行。
x{m} #重复字符x,m次,如:’0{5}‘匹配包含5个o的行。
x{m,} #重复字符x,至少m次,如:’o{5,}‘匹配至少有5个o的行。
x{m,n} #重复字符x,至少m次,不多于n次,如:’o{5,10}‘匹配5–10个o的行。
\w #匹配文字和数字字符,也就是[A-Za-z0-9],如:’G\w*p’匹配以G后跟零个或多个文字或数字字符,然后是p。
\W #\w的反置形式,匹配一个或多个非单词字符,如点号句号等。
\b #单词锁定符,如: ‘\bgrep\b’只匹配grep。
POSIX字符:
为了在不同国家的字符编码中保持一至,POSIX(The Portable Operating System Interface)增加了特殊的字符类,如[:alnum:]是[A-Za-z0-9]的另一个写法。要把它们放到[]号内才能成为正则表达式,如[A- Za-z0-9]或[[:alnum:]]。在linux下的grep除fgrep外,都支持POSIX的字符类。
[:alnum:] #文字数字字符
[:alpha:] #文字字符
[:digit:] #数字字符
[:graph:] #非空字符(非空格、控制字符)
[:lower:] #小写字符
[:cntrl:] #控制字符
[:print:] #非空字符(包括空格)
[:punct:] #标点符号
[:space:] #所有空白字符(新行,空格,制表符)
[:upper:] #大写字符
[:xdigit:] #十六进制数字(0-9,a-f,A-F)
5.使用实例:
实例1:查找指定进程
命令:
ps -ef|grep svn
输出:
[root@localhost ~]# ps -ef|grep svn
root 4943 1 0 Dec05 ? 00:00:00 svnserve -d -r /opt/svndata/grape/
root 16867 16838 0 19:53 pts/0 00:00:00 grep svn
[root@localhost ~]#
说明:
第一条记录是查找出的进程;第二条结果是grep进程本身,并非真正要找的进程。
实例2:查找指定进程个数
命令:
ps -ef|grep svn -c
ps -ef|grep -c svn
输出:
[root@localhost ~]# ps -ef|grep svn -c
2
[root@localhost ~]# ps -ef|grep -c svn
2
[root@localhost ~]#
说明:
实例3:从文件中读取关键词进行搜索
命令:
cat test.txt | grep -f test2.txt
输出:
[root@localhost test]# cat test.txt
hnlinux
peida.cnblogs.com
ubuntu
ubuntu linux
redhat
Redhat
linuxmint
[root@localhost test]# cat test2.txt
linux
Redhat
[root@localhost test]# cat test.txt | grep -f test2.txt
hnlinux
ubuntu linux
Redhat
linuxmint
[root@localhost test]#
说明:
输出test.txt文件中含有从test2.txt文件中读取出的关键词的内容行
实例3:从文件中读取关键词进行搜索 且显示行号
命令:
cat test.txt | grep -nf test2.txt
输出:
[root@localhost test]# cat test.txt
hnlinux
peida.cnblogs.com
ubuntu
ubuntu linux
redhat
Redhat
linuxmint
[root@localhost test]# cat test2.txt
linux
Redhat
[root@localhost test]# cat test.txt | grep -nf test2.txt
1:hnlinux
4:ubuntu linux
6:Redhat
7:linuxmint
[root@localhost test]#
说明:
输出test.txt文件中含有从test2.txt文件中读取出的关键词的内容行,并显示每一行的行号
实例5:从文件中查找关键词
命令:
grep ‘linux’ test.txt
输出:
[root@localhost test]# grep ‘linux’ test.txt
hnlinux
ubuntu linux
linuxmint
[root@localhost test]# grep -n ‘linux’ test.txt
1:hnlinux
4:ubuntu linux
7:linuxmint
[root@localhost test]#
说明:
实例6:从多个文件中查找关键词
命令:
grep ‘linux’ test.txt test2.txt
输出:
[root@localhost test]# grep -n ‘linux’ test.txt test2.txt
test.txt:1:hnlinux
test.txt:4:ubuntu linux
test.txt:7:linuxmint
test2.txt:1:linux
[root@localhost test]# grep ‘linux’ test.txt test2.txt
test.txt:hnlinux
test.txt:ubuntu linux
test.txt:linuxmint
test2.txt:linux
[root@localhost test]#
说明:
多文件时,输出查询到的信息内容行时,会把文件的命名在行最前面输出并且加上”:”作为标示符
实例7:grep不显示本身进程
命令:
ps aux|grep [s]sh
ps aux | grep ssh | grep -v “grep”
输出:
[root@localhost test]# ps aux|grep ssh
root 2720 0.0 0.0 62656 1212 ? Ss Nov02 0:00 /usr/sbin/sshd
root 16834 0.0 0.0 88088 3288 ? Ss 19:53 0:00 sshd: root@pts/0
root 16901 0.0 0.0 61180 764 pts/0 S+ 20:31 0:00 grep ssh
[root@localhost test]# ps aux|grep [s]sh]
[root@localhost test]# ps aux|grep [s]sh
root 2720 0.0 0.0 62656 1212 ? Ss Nov02 0:00 /usr/sbin/sshd
root 16834 0.0 0.0 88088 3288 ? Ss 19:53 0:00 sshd: root@pts/0
[root@localhost test]# ps aux | grep ssh | grep -v “grep”
root 2720 0.0 0.0 62656 1212 ? Ss Nov02 0:00 /usr/sbin/sshd
root 16834 0.0 0.0 88088 3288 ? Ss 19:53 0:00 sshd: root@pts/0
说明:
实例8:找出已u开头的行内容
命令:
cat test.txt |grep ^u
输出:
[root@localhost test]# cat test.txt |grep ^u
ubuntu
ubuntu linux
[root@localhost test]#
说明:
实例9:输出非u开头的行内容
命令:
cat test.txt |grep ^[^u]
输出:
[root@localhost test]# cat test.txt |grep ^[^u]
hnlinux
peida.cnblogs.com
redhat
Redhat
linuxmint
[root@localhost test]#
说明:
实例10:输出以hat结尾的行内容
命令:
cat test.txt |grep hat$
输出:
[root@localhost test]# cat test.txt |grep hat$
redhat
Redhat
[root@localhost test]#
说明:
实例11:输出ip地址
命令:
ifconfig eth0|grep -E "([0-9]{1,3}\.){3}[0-9]"
输出:
[root@localhost test]# ifconfig eth0|grep “[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}“
inet addr:192.168.120.204 Bcast:192.168.120.255 Mask:255.255.255.0
[root@localhost test]# ifconfig eth0|grep -E “([0-9]{1,3}.){3}[0-9]”
inet addr:192.168.120.204 Bcast:192.168.120.255 Mask:255.255.255.0
[root@localhost test]#
说明:
实例12:显示包含ed或者at字符的内容行
命令:
cat test.txt |grep -E “ed|at”
输出:
[root@localhost test]# cat test.txt |grep -E “peida|com”
peida.cnblogs.com
[root@localhost test]# cat test.txt |grep -E “ed|at”
redhat
Redhat
[root@localhost test]#
说明:
实例13:显示当前目录下面以.txt 结尾的文件中的所有包含每个字符串至少有7个连续小写字符的字符串的行
命令:
grep ‘[a-z]{7}‘ *.txt
输出:
[root@localhost test]# grep ‘[a-z]{7}‘ *.txt
test.txt:hnlinux
test.txt:peida.cnblogs.com
test.txt:linuxmint
[root@localhost test]#
实例14:日志文件过大,不好查看,我们要从中查看自己想要的内容,或者得到同一类数据,比如说没有404日志信息的
命令:
grep ‘.’ access1.log|grep -Ev ‘404’ > access2.log
grep ‘.’ access1.log|grep -Ev ‘(404|/photo/|/css/)’ > access2.log
grep ‘.’ access1.log|grep -E ‘404’ > access2.log
输出:
[root@localhost test]# grep “.”access1.log|grep -Ev “404” > access2.log
说明:上面3句命令前面两句是在当前目录下对access1.log文件进行查找,找到那些不包含404的行,把它们放到access2.log中,后面去掉’v’,即是把有404的行放入access2.log
4.tr
tr命令可以对来自标准输入的字符进行替换、压缩和删除。它可以将一组字符变成另一组字符,经常用来编写优美的单行命令,作用很强大
参数:
-c或——complerment:取代所有不属于第一字符集的字符;
-d或——delete:删除所有属于第一字符集的字符;
-s或–squeeze-repeats:把连续重复的字符以单独一个字符表示;
-t或–truncate-set1:先删除第一字符集较第二字符集多出的字符。
总结
pwnhub题目的质量还是相当高的,很多奇淫技巧有待发掘,以后要多多关注。