查看: 21167|回复: 12

[CTFs]CSAW CTF 2013 MISC Writeups

[复制链接]

该用户从未签到

发表于 2013-11-26 22:25:59 | 显示全部楼层 |阅读模式
前几天去杭州参加了HDUCTF比赛,被虐成了狗……
虽然混了个第四看起来还不错的样子,
但是自己心里知道和第一第二第三的差距不是一点半点。。
于是下定决心开始闭关修炼,
且看我闭关半年之后超神逆袭反杀!
我想了半天,觉得能提升技术的方法除了多渗透实践,
就只有研究以前历年比赛的Write-Ups来了解国外神牛的解题、渗透和逆向等等的思路。
于是,今天读完了CSAW CTF,也就是所谓的Entry Level CTF(入门级CTF)的writeups。
虽说是入门级,当初我也参加了这个比赛,最后混了个三百四十名,我对自己的成绩还是比较满意的。。
但是既然说要闭关,就必须从他开始入手搞懂当时没做出来的题目。
今天通读了一遍,头晕脑胀泪流满面,于是写这篇文章做分享同时也理清自己的思路
先普及一下CTF,全称是Capture the Flag (夺旗)。是黑客比赛的常见形式
而CTF得常见形式有两种,
一种就是Attack/Defense(攻防)
另一种就是大多数Qualification(资格赛)所会采用的答题形式
而答题形式往往会有Trivia(琐碎题)、Reversing(逆向)、Web(网络、渗透)、Exploitation(漏洞利用)、Miscellaneous(杂项)、Crypto(密码学)。CSAW CTF则有其作为特色的Recon题(社工)。
Trivia题的考察点通常都是一些常识,往往都可以很轻松的百度到,所以Writeups不太会着重讲这些。
而Web题一般都会需要有一个Web环境,Reversing、Exploitation则需要有源文件
我写了邮件询问CSAW CTF的staff
她们说比赛一结束Challenge就不提供下载了,只能自己去找。可是没有题目就没有办法分析
后来我在她们的官网找到了2013年比赛的Challenge文件,只有2013的。
所以今天就从CSAW 2013中最容易的MISC开始讲起
——————————————————————————————————————————————————
Networking 1
QQ20131126-1.jpg
首先看到的第一题,所给出的是一个pcap文件。往往pcap文件就是我们所抓到的包。
比如常在破解Wifi的时候会抓到的握手包就常是pcap格式。
这道题其实是常规题,看他们出题规律,每年的Networking都会有涉及到这样的题目,今年的则特别简单。
我们用Wireshark载入Networking.pcap文件
QQ20131126-2.jpg
这样,我们一看就能知道这是一个连接Telnet所被抓到的包。
对于这样的题,第一思路便是KEY可能存在与链接使用的密码中。那密码会是什么呢?
我们可以使用WireShark的Follow TCP stream功能来轻松地查看一个TCP通信中应用层的数据。
于是得到如下
QQ20131126-3.jpg
其实这道题还有更容易更粗暴的方法,就是直接将pcap文件用vim打开
$ vim networking.pcap
得到如下
QQ20131126-4.jpg
Networking 2
第二题相比第一题多给出了一个process文件
QQ20131126-5.jpg
第一个pcap文件还是跟上一题一样的,所以没啥好看的
process文件才是重点,于是我们机智的用vim打开
QQ20131126-6.jpg
Black & White
第三题很有趣的给出了一个纯白的图片。
而这道题是我当时做出来觉得最容易的一道题
大家不妨打开photoshop给任意地方填充一个黑色,
然后就知道怎么回事了,就不累述了
——————————————————————————————————————————————————
然后MISE的第四第五题放在明天再写~~~
前三题的源文件放在下面的rar文件中

或许会有人很多人觉得我写这个没啥意义,
因为毕竟是已经过去的比赛,也有人写过了许多writeups
而且现在写这些东西看得人大多数都是没有经历过这样的比赛,
没有那种气氛,没有做过题就直接看到了题解,很难有效果
但是我觉得毕竟大多数人writeups都是老外写的,
而且我们这些小菜也很难有机会看到这些东西。
能见识见识一些比赛的思路对自己本身总还是有提高的,
而且很大程度上写这个也是给自己看的~所以大家不喜勿喷~
misc123.zip (7.27 KB, 下载次数: 4)

评分

参与人数 3i币 +24 贡献 +2 收起 理由
Sinboy + 4 默默评分。。。
08道士 + 10 支持原创
90_ + 10 + 2 支持原创

查看全部评分

回复

使用道具 举报

该用户从未签到

发表于 2013-11-26 22:36:39 | 显示全部楼层
首先看到的第一题,  大神, 我会说,  跑出来的握手包后缀是cap么?  然后使用暴力破解的,  请问大神, 你说的那个可以看到KEY?  你是否已经可以实现了么?

点评

嗯。。疏忽了。。是cap。。这个题目的类型不一样的,那个flag字符串就是key呀。截图都是我在自己电脑上重现的,所以的确是可以实现。你不信的话可以自己下载rar文件包里的题然后按我说的方法试一下~  详情 回复 发表于 2013-11-26 22:44
回复 支持 反对

使用道具 举报

  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2013-11-26 22:38:08 | 显示全部楼层
    大牛该出来犁地了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2020-12-4 20:42
  • 签到天数: 23 天

    [LV.4]偶尔看看III

    发表于 2013-11-26 22:39:25 | 显示全部楼层
    大牛。  赞一个~~~~~~~~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

     楼主| 发表于 2013-11-26 22:44:44 | 显示全部楼层
    xyhacker 发表于 2013-11-26 22:36
    首先看到的第一题,  大神, 我会说,  跑出来的握手包后缀是cap么?  然后使用暴力破解的,  请问大神, 你说的 ...

    嗯。。疏忽了。。是cap。。这个题目的类型不一样的,那个flag字符串就是key呀。截图都是我在自己电脑上重现的,所以的确是可以实现。你不信的话可以自己下载rar文件包里的题然后按我说的方法试一下~

    点评

    我这里有很多握手包, 我以前都是直接暴力破解的, 网上的握手包,方法只有暴力破解, 我看到这个帖子, 通过TCP通信应用层的数据,TCP数据信息:TCP头部+实际数据 (TCP头包括源和目标主机端口号、顺序号、确认号、校 验  详情 回复 发表于 2013-11-26 22:55
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2013-11-26 22:55:36 | 显示全部楼层
    Exploit 发表于 2013-11-26 22:44
    嗯。。疏忽了。。是cap。。这个题目的类型不一样的,那个flag字符串就是key呀。截图都是我在自己电脑上重 ...

    我这里有很多握手包, 我以前都是直接暴力破解的, 网上的握手包,方法只有暴力破解, 我看到这个帖子, 通过TCP通信应用层的数据,TCP数据信息:TCP头部+实际数据  (TCP头包括源和目标主机端口号、顺序号、确认号、校
    验字等,通过效验了, 通过cap效验里面的数据包这些数据加密应该都解密不了吧?MD5估计不行,求大神,给各更详细的说法,另外求大神发下工具, 此方法第一次见到,激动。得试试)    ?   
    回复 支持 反对

    使用道具 举报

     发表于 2013-11-26 23:00:36
    /亲爱的 杭州好玩吗?我看这边写的不错。我也打算过去玩呢。[tthread=itouchchina, TouchChina]http://app.qlogo.cn/mbloghead/fb17c2ef24bac0eec79a[/tthread]
    回复 支持 反对

    使用道具

     发表于 2013-11-26 23:00:37
    /亲爱的 这个季节去杭州不错哦。玩什么,吃什么,喝什么?戳这里哦~[tthread=itouchchina, TouchChina]http://app.qlogo.cn/mbloghead/fb17c2ef24bac0eec79a[/tthread]
    回复 支持 反对

    使用道具

    该用户从未签到

    发表于 2013-11-26 23:06:50 | 显示全部楼层
    还有大神, 你发的图片里面为何每一张图片的flag字符串都不一样, 难道大神打开的是三个测试? 还有cap的握手包的一般都是MAC地址生成出来的,大神改名了还是? 大神,别怪小菜话多,  我没每样东西,都比较仔细点。 先分析,给问清楚, 这样我们会少走很多弯路,

    点评

    嗯,第一第二张图里的flag是第一题的flag,第二张图里的flag是第二道题的flag。工具叫做Wireshark,他的Follow Tcp Stream能够让你详细的看到一个TCP连接的具体内容,的确能看到在Telnet流中的密码。而且这里是他所  详情 回复 发表于 2013-11-26 23:29
    回复 支持 反对

    使用道具 举报

    该用户从未签到

     楼主| 发表于 2013-11-26 23:29:33 | 显示全部楼层
    xyhacker 发表于 2013-11-26 23:06
    还有大神, 你发的图片里面为何每一张图片的flag字符串都不一样, 难道大神打开的是三个测试? 还有cap的握 ...

    嗯,第一第二张图里的flag是第一题的flag,第二张图里的flag是第二道题的flag。工具叫做Wireshark,他的Follow Tcp Stream能够让你详细的看到一个TCP连接的具体内容,的确能看到在Telnet流中的密码。而且这里是他所提交的密码,并不正确,你如果仔细看会看到包后面有login fail的提示。我就是为了解释一下pcap后缀名才举了抓握手包的例子,你能不能不要只看到这个而忽略掉别的东西?

    点评

    好的,受教了, 不知道 能否把工具传上来否?  详情 回复 发表于 2013-11-27 00:29
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-25 15:05 , Processed in 0.040810 second(s), 23 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部