資料包分析-抓到一隻蒼蠅

題目名稱：

資料包分析-抓到一隻蒼蠅

題目描述：

題目：報告首長！發現一隻蒼蠅。。 在哪？ here! 臥槽？！好大一坨蒼蠅。。

感覺很有意思，所以寫了篇記錄

開局拿到資料包先看http協議的，題目描述說好大一隻fly，那就分組位元組流搜字串fly。發現有多個，那就先拿最先的幾個追蹤流看看，可以看到post請求了個JSON格式內容

{
    "path":"fly.rar",
	"appid":"",
    "size":525701,
 	"md5":"e023afa4f6579db5becda8fe7861c2d3",
 	"sha":"ecccba7aea1d482684374b22e2e7abad2ba86749",
 	"sha3":""
}

結合HTTP匯出物件的主機名來看，猜測這可能是郵箱檔案傳輸，傳輸了一個叫fly.rar的壓縮包，大小是525701。

http傳輸檔案那必然是使用post方法，使用過濾http.request.method ==POST，結合上圖來看，他是經歷了一次郵件傳輸分別向set2.mail.qq.com傳送正文以及攜帶檔案資訊，sz.mail.ftn.qq.com傳送附件。為什麼這麼講呢？這是有推斷過程的

可以發現163、289、431、577、729這5個連續的post包data大小各為131436、131436、131436、131436、1777，合計大小為527521，附件原大小為525701，這是十分接近的。那到底多出來什麼呢？拿去010來比較一下

發現任意檔案之中都有一段相同的頭部，那就是通訊時候需要的頭部，並不是檔案本身的內容，但是從這裡並不能很好判別出來頭部結束在哪裡。

但是透過整理之前的資訊，原有資料包525701，5個合計資料包527521

（527521−525701）／5=364 即為頭部檔案大小

然後就是需要剔除加合併資料，使用linux的dd命令，這裡參考了這篇文章

合成檔案前先科普Linux/Unix語法：
 
語法：dd [選項] 
 
if =輸入檔案（或裝置名稱）。 
of =輸出檔案（或裝置名稱）。 
ibs = bytes 一次讀取bytes位元組，即讀入緩衝區的位元組數。 
skip = blocks 跳過讀入緩衝區開頭的ibs*blocks塊。 
obs = bytes 一次寫入bytes位元組，即寫入緩衝區的位元組數。 
bs = bytes 同時設定讀/寫緩衝區的位元組數（等於設定ibs和obs）

tee -a 輸出追加

按順序匯出data，這裡我分別命名為1.bin、2.bin ........

for i in {1..5}; do dd if=$i.bin bs=1 skip=364 2>/dev/null | tee -a fly.rar >/dev/null ; done

然後可以md5sum一下，檔案完整性一致

md5sum fly.rar
e023afa4f6579db5becda8fe7861c2d3  fly.rar

但是解壓會發現檔案頭出錯，rar修復無效，那就剩下偽加密的玩法了

找到第24個位元組，該位元組尾數為4表示加密，0表示無加密，將尾數改為0即可破解偽加密

84改為80，解壓出來一個txt，提示我們要執行此程式，順手拖到尾部看到明顯的IEND字樣。先改為exe執行出來是蒼蠅....，那就直接binwalk，foremost梭，foremost可以梭出來一堆圖片，有二維碼flag{m1Sc_oxO2_Fly}