|
[/url] 今天我们要解决的这个挑战赛十分有趣,该挑战赛名为SpyderSec。我们将其搭建在VirtualBox虚拟机并打开Nmap瞧一瞧,Nmap扫描之后得到其仅开放了一个80端口,在浏览器键入192.168.0.7我们看到一个网页。 获得.FBI视频文件 对目标使用WEB模糊测试工具dirbuster,然而没有获得有趣的信息。这里我们看到存在一个名为V的目录,还禁止访问。 [url=http://image.3001.net/images/20151123/14482749438210.jpg] 回到网页,查看其源代码。这里我们发现了一段混淆过的JavaScript脚本代码:
[/url] 对这段JavaScript脚本进行反混淆后,得到一串16进制代码: [url=http://image.3001.net/images/20151123/14482752336933.jpg] 解密16进制ASCII码,我们发现了一个JS alert通知 [/url] 从上图中我们可以看到其是要打印mulder.fbi,它看起来像是某种类型的文件。为Burp Suite配置浏览器后开始截断该应用通信流量,我们发现set-cookies中指定了URL,而且是一个目录路径 [url=http://image.3001.net/images/20151123/1448275683247.jpg] 打开该目录显示禁止访问,然后在目录名之后我们再增加了从JavaScript mulder.fbi得知的文件名,ok
[/url] 解密图片获得密码 通过Google搜索FBI文件格式,得知这是一个视频文件格式。尝试播放这个视频,但是什么东西都没有。接着只好再到web页面去挖掘其他一些有用的线索,将整个html页面都保存下来。在其中一个文件夹中我们发现了一张名为challenge.png的图片: [url=http://image.3001.net/images/20151123/1448276027705.jpg] 尝试检测图片的元数据(Meta data)以挖掘更多的线索,将其上传到在线ExifTool网站: [/url]
得到该图片的所有元数据,在comment部分是一串16进制代码。 [url=http://image.3001.net/images/20151123/1448276270313.jpg] 解密16进制代码获得一个base64字符串,解密base64字符串后得到一些看起来像是密码的东西。 [/url] 成功拿到flag 现在我们拥有mulder.fbi文件和一个看起来像是密码的字符串,Google搜索视频锁,我们在一篇文章中看到可以通过使用TrueCrypt工具在视频中隐藏信息的方法。打开TrueCrypt后会安装一个驱动,并提示我们输入密码。使用之前获取到的密码,其在我们的电脑中创建了一个磁盘。 [url=http://image.3001.net/images/20151123/14482767809393.jpg] 就像我们看到的,有一个驱动正在被安装:
[/url] 打开硬盘发现flag.txt文件: [url=http://image.3001.net/images/20151123/14482769291331.jpg] 参考资料 https://www.vulnhub.com/series/spydersec,66/ http://oskarhane.com/hide-encrypted-files-inside-videos/ *原文地址:infosecinstitute,编译/FB小编鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
| 
|小黑屋|手机版|中国白客联盟-BUC
( 赣ICP备15007148号-6 ) 
窥视卡
雷达卡
发表于 2015-12-1 20:31:53
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡