[陇剑杯 2021]wifi

题目描述：

网管小王最近喜欢上了ctf网络安全竞赛，他使用“哥斯拉”木马来玩玩upload-labs，并且保存了内存镜像、wifi流量和服务器流量，让您来分析后作答：

小王往upload-labs上传木马后进行了cat /flag，flag内容为_____________。（压缩包里有解压密码的提示，需要额外添加花括号）

给了一个服务器流量包，一个客户端流量包，一个内存镜像

先看服务器流量，发现第27个包在上传木马

追踪一下http流，发现一串密文

 

 解码一下发现是哥斯拉的源码

 

 然后看一下客户端流量，是被加密过的，是WPA加密，需要找到SSID和密码，里面可以找到SSID为My_Wifi

 

 

 

 

然后再去取证

 

 找一下My_Wifi相关文件，提取出来

 

 

 

 zip发现需要密码，提示说是网卡的GUID

 

 网卡的GUID和接口绑定，搜索一下Interfaces

 

 打开压缩包，得到SSID和密码

 

 然后进行解码客户端流量包

 

 

 

 这一步也可以用无线攻击Airdecap-ng

 

 去找一下哥斯拉解密脚本

<?php 
//直接使用encode方法
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
 
$key='3c6e0b8a9c15224a';
$key1="密文";
$str=substr($key1,16,-16);//原来的数据去掉前十六位和后十六位
$str=gzdecode(encode(base64_decode($str),$key));
echo $str;
 ?>

然后再解密后的客户端流量包里找密文，在最后一个tcp流的末尾找到了正确的密文

 

 在线编译一下得到flag