搜索
查看: 657|回复: 0

SpyderSec挑战赛解题思路解析

[复制链接]

432

主题

573

帖子

2543

积分

核心成员

Rank: 8Rank: 8

积分
2543
发表于 2015-12-1 20:31:53 | 显示全部楼层 |阅读模式

[/url]

今天我们要解决的这个挑战赛十分有趣,该挑战赛名为SpyderSec。我们将其搭建在VirtualBox虚拟机并打开Nmap瞧一瞧,Nmap扫描之后得到其仅开放了一个80端口,在浏览器键入192.168.0.7我们看到一个网页。

获得.FBI视频文件

对目标使用WEB模糊测试工具dirbuster,然而没有获得有趣的信息。这里我们看到存在一个名为V的目录,还禁止访问。

[url=http://image.3001.net/images/20151123/14482749438210.jpg]

回到网页,查看其源代码。这里我们发现了一段混淆过的JavaScript脚本代码:

[/url]

对这段JavaScript脚本进行反混淆后,得到一串16进制代码:

[url=http://image.3001.net/images/20151123/14482752336933.jpg]

解密16进制ASCII码,我们发现了一个JS alert通知

[/url]

从上图中我们可以看到其是要打印mulder.fbi,它看起来像是某种类型的文件。为Burp Suite配置浏览器后开始截断该应用通信流量,我们发现set-cookies中指定了URL,而且是一个目录路径

[url=http://image.3001.net/images/20151123/1448275683247.jpg]

打开该目录显示禁止访问,然后在目录名之后我们再增加了从JavaScript mulder.fbi得知的文件名,ok

[/url]

解密图片获得密码

通过Google搜索FBI文件格式,得知这是一个视频文件格式。尝试播放这个视频,但是什么东西都没有。接着只好再到web页面去挖掘其他一些有用的线索,将整个html页面都保存下来。在其中一个文件夹中我们发现了一张名为challenge.png的图片:

[url=http://image.3001.net/images/20151123/1448276027705.jpg]

尝试检测图片的元数据(Meta data)以挖掘更多的线索,将其上传到在线ExifTool网站:

[/url]


得到该图片的所有元数据,在comment部分是一串16进制代码。

[url=http://image.3001.net/images/20151123/1448276270313.jpg]

解密16进制代码获得一个base64字符串,解密base64字符串后得到一些看起来像是密码的东西。

[/url]

成功拿到flag

现在我们拥有mulder.fbi文件和一个看起来像是密码的字符串,Google搜索视频锁,我们在一篇文章中看到可以通过使用TrueCrypt工具在视频中隐藏信息的方法。打开TrueCrypt后会安装一个驱动,并提示我们输入密码。使用之前获取到的密码,其在我们的电脑中创建了一个磁盘。

[url=http://image.3001.net/images/20151123/14482767809393.jpg]

就像我们看到的,有一个驱动正在被安装:

[/url]

打开硬盘发现flag.txt文件:

[url=http://image.3001.net/images/20151123/14482769291331.jpg]

参考资料

https://www.vulnhub.com/series/spydersec,66/

http://oskarhane.com/hide-encrypted-files-inside-videos/

*原文地址infosecinstitute,编译/FB小编鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
您可以更新记录, 让好友们知道您在做什么...
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表