这是来源于一个比赛的题,首先尝试用MP3Stego提取隐藏信息,无果,然后使用了能找到的所有工具来提取,依旧没有进展。于是网上找了MP3格式的分析资料,看了半天都没看出个所以然,感觉可能是自己姿势不对。在绝望中试着听了下这段音乐,发现中间夹杂着像是电报的嘀嘀嗒嗒的声音,感觉猫腻就藏在这里,然后用Audacity打开这个MP3
选择音高模式显示
放大一下看到了类似摩斯电码一长一短的信息
最后对这些摩斯电码进行解码得到最终的结果
0x01 0ops官网寻找Flag
打开0ops官网,Chrome中F12查看Sources中的0ops_cli_all.js,按下左下角的Pretty print会使看代码容易一些,在最后发现了一段编码过的字符串
对它进行解码得到明文
curl flag_is_not_here
然后在官网页面上输入得到一串Base64编码的字符串
对这段Base64编码解码得到又一个字符串
再使用zlib解压得到一串Brainfuck代码
最后使用Brainfuck解释器执行这段代码得到Flag
题目和工具:http://pan.baidu.com/s/1kUcbeej 密码:vedd
0x2 逆向路由器固件
来源于一个比赛,忘了最后的Flag应该是什么,我这里就把它当做寻找后门地址。
首先用binwalk查看发现是TP-Link的固件
然后用binwalk提取信息得到它的文件系统120200.squashfs
再使用Firmware Modification Kit(https://code.google.com/p/firmware-mod-kit/)中的unsquashfs_all.sh脚本提取文件系统120200.squashfs的内容
提取文件系统内容成功,翻了一下在tmp目录下发现后门程序backdoor
使用strings查看backdoor发现加了UPX壳
upx脱壳
最后再用strings找到后门地址
如果想更深入,可以用IDA静态分析或者用GDB、EDB等工具动态调试下backdoor程序
题目和工具:http://pan.baidu.com/s/1bbD2OI 密码:4xo4