[CTFs]CSAW CTF 2013 MISC Writeups
前几天去杭州参加了HDUCTF比赛,被虐成了狗……虽然混了个第四看起来还不错的样子,
但是自己心里知道和第一第二第三的差距不是一点半点。。
于是下定决心开始闭关修炼,
且看我闭关半年之后超神逆袭反杀!
我想了半天,觉得能提升技术的方法除了多渗透实践,
就只有研究以前历年比赛的Write-Ups来了解国外神牛的解题、渗透和逆向等等的思路。
于是,今天读完了CSAW CTF,也就是所谓的Entry Level CTF(入门级CTF)的writeups。
虽说是入门级,当初我也参加了这个比赛,最后混了个三百四十名,我对自己的成绩还是比较满意的。。
但是既然说要闭关,就必须从他开始入手搞懂当时没做出来的题目。
今天通读了一遍,头晕脑胀泪流满面,于是写这篇文章做分享同时也理清自己的思路
先普及一下CTF,全称是Capture the Flag (夺旗)。是黑客比赛的常见形式
而CTF得常见形式有两种,
一种就是Attack/Defense(攻防)
另一种就是大多数Qualification(资格赛)所会采用的答题形式
而答题形式往往会有Trivia(琐碎题)、Reversing(逆向)、Web(网络、渗透)、Exploitation(漏洞利用)、Miscellaneous(杂项)、Crypto(密码学)。CSAW CTF则有其作为特色的Recon题(社工)。
Trivia题的考察点通常都是一些常识,往往都可以很轻松的百度到,所以Writeups不太会着重讲这些。
而Web题一般都会需要有一个Web环境,Reversing、Exploitation则需要有源文件
我写了邮件询问CSAW CTF的staff
她们说比赛一结束Challenge就不提供下载了,只能自己去找。可是没有题目就没有办法分析
后来我在她们的官网找到了2013年比赛的Challenge文件,只有2013的。
所以今天就从CSAW 2013中最容易的MISC开始讲起
——————————————————————————————————————————————————
Networking 1
首先看到的第一题,所给出的是一个pcap文件。往往pcap文件就是我们所抓到的包。
比如常在破解Wifi的时候会抓到的握手包就常是pcap格式。
这道题其实是常规题,看他们出题规律,每年的Networking都会有涉及到这样的题目,今年的则特别简单。
我们用Wireshark载入Networking.pcap文件
这样,我们一看就能知道这是一个连接Telnet所被抓到的包。
对于这样的题,第一思路便是KEY可能存在与链接使用的密码中。那密码会是什么呢?
我们可以使用WireShark的Follow TCP stream功能来轻松地查看一个TCP通信中应用层的数据。
于是得到如下
其实这道题还有更容易更粗暴的方法,就是直接将pcap文件用vim打开
$ vim networking.pcap
得到如下
Networking 2
第二题相比第一题多给出了一个process文件
第一个pcap文件还是跟上一题一样的,所以没啥好看的
process文件才是重点,于是我们机智的用vim打开
Black & White
第三题很有趣的给出了一个纯白的图片。
而这道题是我当时做出来觉得最容易的一道题
大家不妨打开photoshop给任意地方填充一个黑色,
然后就知道怎么回事了,就不累述了
——————————————————————————————————————————————————
然后MISE的第四第五题放在明天再写~~~
前三题的源文件放在下面的rar文件中
或许会有人很多人觉得我写这个没啥意义,
因为毕竟是已经过去的比赛,也有人写过了许多writeups
而且现在写这些东西看得人大多数都是没有经历过这样的比赛,
没有那种气氛,没有做过题就直接看到了题解,很难有效果
但是我觉得毕竟大多数人writeups都是老外写的,
而且我们这些小菜也很难有机会看到这些东西。
能见识见识一些比赛的思路对自己本身总还是有提高的,
而且很大程度上写这个也是给自己看的~所以大家不喜勿喷~
首先看到的第一题,大神, 我会说,跑出来的握手包后缀是cap么?然后使用暴力破解的,请问大神, 你说的那个可以看到KEY?你是否已经可以实现了么? 大牛该出来犁地了 大牛。赞一个~~~~~~~~ xyhacker 发表于 2013-11-26 22:36 static/image/common/back.gif
首先看到的第一题,大神, 我会说,跑出来的握手包后缀是cap么?然后使用暴力破解的,请问大神, 你说的 ...
嗯。。疏忽了。。是cap。。这个题目的类型不一样的,那个flag字符串就是key呀。截图都是我在自己电脑上重现的,所以的确是可以实现。你不信的话可以自己下载rar文件包里的题然后按我说的方法试一下~ Exploit 发表于 2013-11-26 22:44 static/image/common/back.gif
嗯。。疏忽了。。是cap。。这个题目的类型不一样的,那个flag字符串就是key呀。截图都是我在自己电脑上重 ...
我这里有很多握手包, 我以前都是直接暴力破解的, 网上的握手包,方法只有暴力破解, 我看到这个帖子, 通过TCP通信应用层的数据,TCP数据信息:TCP头部+实际数据(TCP头包括源和目标主机端口号、顺序号、确认号、校
验字等,通过效验了, 通过cap效验里面的数据包这些数据加密应该都解密不了吧?MD5估计不行,求大神,给各更详细的说法,另外求大神发下工具, 此方法第一次见到,激动。得试试) ? /亲爱的 杭州好玩吗?我看这边写的不错。我也打算过去玩呢。<a href="" target="_blank"></a>http://app.qlogo.cn/mbloghead/fb17c2ef24bac0eec79a /亲爱的 这个季节去杭州不错哦。玩什么,吃什么,喝什么?戳这里哦~<a href="" target="_blank"></a>http://app.qlogo.cn/mbloghead/fb17c2ef24bac0eec79a 还有大神, 你发的图片里面为何每一张图片的flag字符串都不一样, 难道大神打开的是三个测试? 还有cap的握手包的一般都是MAC地址生成出来的,大神改名了还是? 大神,别怪小菜话多,我没每样东西,都比较仔细点。 先分析,给问清楚, 这样我们会少走很多弯路,:lol:$:$ xyhacker 发表于 2013-11-26 23:06 static/image/common/back.gif
还有大神, 你发的图片里面为何每一张图片的flag字符串都不一样, 难道大神打开的是三个测试? 还有cap的握 ...
嗯,第一第二张图里的flag是第一题的flag,第二张图里的flag是第二道题的flag。工具叫做Wireshark,他的Follow Tcp Stream能够让你详细的看到一个TCP连接的具体内容,的确能看到在Telnet流中的密码。而且这里是他所提交的密码,并不正确,你如果仔细看会看到包后面有login fail的提示。我就是为了解释一下pcap后缀名才举了抓握手包的例子,你能不能不要只看到这个而忽略掉别的东西?
页:
[1]
2