[CTFs]CSAW CTF 2013 MISC Writeups

Exploit

前几天去杭州参加了HDUCTF比赛，被虐成了狗……
虽然混了个第四看起来还不错的样子，
但是自己心里知道和第一第二第三的差距不是一点半点。。
于是下定决心开始闭关修炼，
且看我闭关半年之后超神逆袭反杀！
我想了半天，觉得能提升技术的方法除了多渗透实践，
就只有研究以前历年比赛的Write-Ups来了解国外神牛的解题、渗透和逆向等等的思路。
于是，今天读完了CSAW CTF，也就是所谓的Entry Level CTF（入门级CTF）的writeups。
虽说是入门级，当初我也参加了这个比赛，最后混了个三百四十名，我对自己的成绩还是比较满意的。。
但是既然说要闭关，就必须从他开始入手搞懂当时没做出来的题目。
今天通读了一遍，头晕脑胀泪流满面，于是写这篇文章做分享同时也理清自己的思路
先普及一下CTF，全称是Capture the Flag （夺旗）。是黑客比赛的常见形式
而CTF得常见形式有两种，
一种就是Attack/Defense（攻防）
另一种就是大多数Qualification（资格赛）所会采用的答题形式
而答题形式往往会有Trivia（琐碎题）、Reversing（逆向）、Web（网络、渗透）、Exploitation（漏洞利用）、Miscellaneous（杂项）、Crypto（密码学）。CSAW CTF则有其作为特色的Recon题（社工）。
Trivia题的考察点通常都是一些常识，往往都可以很轻松的百度到，所以Writeups不太会着重讲这些。
而Web题一般都会需要有一个Web环境，Reversing、Exploitation则需要有源文件
我写了邮件询问CSAW CTF的staff
她们说比赛一结束Challenge就不提供下载了，只能自己去找。可是没有题目就没有办法分析
后来我在她们的官网找到了2013年比赛的Challenge文件，只有2013的。
所以今天就从CSAW 2013中最容易的MISC开始讲起
——————————————————————————————————————————————————
Networking 1

首先看到的第一题，所给出的是一个pcap文件。往往pcap文件就是我们所抓到的包。
比如常在破解Wifi的时候会抓到的握手包就常是pcap格式。
这道题其实是常规题，看他们出题规律，每年的Networking都会有涉及到这样的题目，今年的则特别简单。
我们用Wireshark载入Networking.pcap文件

这样，我们一看就能知道这是一个连接Telnet所被抓到的包。
对于这样的题，第一思路便是KEY可能存在与链接使用的密码中。那密码会是什么呢？
我们可以使用WireShark的Follow TCP stream功能来轻松地查看一个TCP通信中应用层的数据。
于是得到如下

其实这道题还有更容易更粗暴的方法，就是直接将pcap文件用vim打开
$ vim networking.pcap
得到如下

Networking 2
第二题相比第一题多给出了一个process文件

第一个pcap文件还是跟上一题一样的，所以没啥好看的
process文件才是重点，于是我们机智的用vim打开

Black & White
第三题很有趣的给出了一个纯白的图片。
而这道题是我当时做出来觉得最容易的一道题
大家不妨打开photoshop给任意地方填充一个黑色，
然后就知道怎么回事了，就不累述了
——————————————————————————————————————————————————
然后MISE的第四第五题放在明天再写~~~
前三题的源文件放在下面的rar文件中

或许会有人很多人觉得我写这个没啥意义，
因为毕竟是已经过去的比赛，也有人写过了许多writeups
而且现在写这些东西看得人大多数都是没有经历过这样的比赛，
没有那种气氛，没有做过题就直接看到了题解，很难有效果
但是我觉得毕竟大多数人writeups都是老外写的，
而且我们这些小菜也很难有机会看到这些东西。
能见识见识一些比赛的思路对自己本身总还是有提高的，
而且很大程度上写这个也是给自己看的~所以大家不喜勿喷~
misc123.zip (7.27 KB, 下载次数: 4)

2013-11-26 22:25 上传

点击文件名下载附件

xyhacker

首先看到的第一题，  大神, 我会说,  跑出来的握手包后缀是cap么?  然后使用暴力破解的,  请问大神, 你说的那个可以看到KEY?  你是否已经可以实现了么?

90_

大牛该出来犁地了

土豆

大牛。  赞一个~~~~~~~~

Exploit

xyhacker 发表于 2013-11-26 22:36
首先看到的第一题，  大神, 我会说,  跑出来的握手包后缀是cap么?  然后使用暴力破解的,  请问大神, 你说的 ...

嗯。。疏忽了。。是cap。。这个题目的类型不一样的，那个flag字符串就是key呀。截图都是我在自己电脑上重现的，所以的确是可以实现。你不信的话可以自己下载rar文件包里的题然后按我说的方法试一下~

xyhacker

Exploit 发表于 2013-11-26 22:44
嗯。。疏忽了。。是cap。。这个题目的类型不一样的，那个flag字符串就是key呀。截图都是我在自己电脑上重 ...

我这里有很多握手包, 我以前都是直接暴力破解的, 网上的握手包,方法只有暴力破解, 我看到这个帖子, 通过TCP通信应用层的数据,TCP数据信息：TCP头部+实际数据  (TCP头包括源和目标主机端口号、顺序号、确认号、校
验字等,通过效验了, 通过cap效验里面的数据包这些数据加密应该都解密不了吧?MD5估计不行，求大神，给各更详细的说法，另外求大神发下工具， 此方法第一次见到，激动。得试试)    ?   

/亲爱的 杭州好玩吗？我看这边写的不错。我也打算过去玩呢。[tthread=itouchchina, TouchChina]http://app.qlogo.cn/mbloghead/fb17c2ef24bac0eec79a[/tthread]

/亲爱的 这个季节去杭州不错哦。玩什么，吃什么，喝什么？戳这里哦～[tthread=itouchchina, TouchChina]http://app.qlogo.cn/mbloghead/fb17c2ef24bac0eec79a[/tthread]

xyhacker

还有大神， 你发的图片里面为何每一张图片的flag字符串都不一样， 难道大神打开的是三个测试？ 还有cap的握手包的一般都是MAC地址生成出来的，大神改名了还是？ 大神，别怪小菜话多，  我没每样东西，都比较仔细点。 先分析，给问清楚， 这样我们会少走很多弯路，

Exploit

xyhacker 发表于 2013-11-26 23:06
还有大神， 你发的图片里面为何每一张图片的flag字符串都不一样， 难道大神打开的是三个测试？ 还有cap的握 ...

嗯，第一第二张图里的flag是第一题的flag，第二张图里的flag是第二道题的flag。工具叫做Wireshark，他的Follow Tcp Stream能够让你详细的看到一个TCP连接的具体内容，的确能看到在Telnet流中的密码。而且这里是他所提交的密码，并不正确，你如果仔细看会看到包后面有login fail的提示。我就是为了解释一下pcap后缀名才举了抓握手包的例子，你能不能不要只看到这个而忽略掉别的东西？