1.shell
使用工具:
Wireshark
原理:
TCP:TCP/IP通过三次握手建立一个连接。这一过程中的三种报文是:SYN,SYN/ACK,ACK。第一步是找到PC发送到网络服务器的第一个SYN报文,这标识了TCP三次握手的开始。
SYN报文:此报文用于与服务器建立同步,确保客户端和服务器端的通信按次序传输。SYN报文的头部有一个32 bit序列号。底端对话框显示了报文一些有用信息如报文类型,序列号。
SYN/ACK报文:一旦服务器接收到客户端的SYN报文,就读取报文的序列号并且使用此编号作为响应,也就是说它告知客户机,服务器接收到了SYN报文,通过对原SYN报文序列号加一并且作为响应编号来实现,之后客户端就知道服务器能够接收通信。
ACK报文:客户端对服务器发送的确认报文,告诉服务器客户端接收到了SYN/ACK报文,并且与前一步一样客户端也将序列号加一,此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
其实上面都是一些理论知识,对本题帮助不是很大,本题最重要的关键词是base64,row_input.swapcase()。Python swapcase() 方法用于对字符串的大小写字母进行转换。
解题思路:
打开文件,发现几个协议:ARP、TCP、DNS、HTTP。HTTP只有两条,没有太多发现。TCP占多数,那就抓包筛选:tcp contains “flag.txt”(我承认这个是碰运气了),果然发现了文件的获取记录,获取文件的内容,这个内容是base64编码的,直接解码发现不行。后来又看到一个大小写转换函数,转换一下再解码,GET。
1.Reverse sign in
使用工具:
IDA
原理:
异或 ^,运算规则就是相同为0,不同为1。进行异或运算时,当前位的两个二进制表示不同则为1相同则为0.该方法被广泛推广用来统计一个数的1的位数!
运算规则:0 ^ 0 = 0; 0 ^ 1 = 1; 1 ^ 0 =1 ; 1 ^ 1 = 0;
按位异或的3个特点:
(1) 0^0=0,0^1=1 0异或任何数=任何数
(2) 1^0=1,1^1=0 1异或任何数-任何数取反
(3) 任何数异或自己=把自己置0
按位异或的几个常见用途:
(1) 使某些特定的位翻转
例如对数10100001的第2位和第3位翻转,则可以将该数与00000110进行按位异或运算。
10100001^00000110 = 10100111
(2)实现两个值的交换,而不必使用临时变量。
例如交换两个整数a=10100001,b=00000110的值,可通过下列语句实现:
a = a^b; //a=10100111
b = b^a; //b=10100001
a = a^b; //a=00000110
ELF(可执行与可链接格式),是一种对象文件的格式,用于定义不同类型的对象文件(Object files)中都放了什么东西、以及都以什么样的格式去放这些东西。它是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的,也是Linux的主要可执行文件格式。
ELF文件由4部分组成,分别是ELF头(ELF header)、程序头表(Program header table)、节(Section)和节头表(Section header table)。实际上,一个文件中不一定包含全部内容,而且他们的位置也未必如同所示这样安排,只有ELF头的位置是固定的,其余各部分的位置、大小等信息由ELF头中的各项值来决定。
解题思路:
题目给的文件没有后缀,按照网上常见逆向的解题思路把文件拖入IDA中,发现打不开。把它后缀改一下.exe?or.elf?发现就可以打开了。接下来生成程序的伪代码,看主函数部分:要求输入flag,输入后会做一个验证操作,跳转到另一个函数体中。找到相应的函数,发现应该是拿byte_400818[i]中的数据和输入的字符串做一个异或操作,找到byte_400818[i]中的数据,由异或操作的性质,进行一个逆运算,GET!