ez_xxd
1.流量直接导出对象选http,导出来俩txt一个zip,那俩txt东西是一样的,都是很长的base64,拿到在线网站网站上去解一下就能发现是张png图片。
2.然后到这里我就卡住了,压缩包里有张图片叫Miku.png,搜了一下是初音未来,然后刚才解码出来图片也是初音未来~emmm还是太不敏感了没想到是明文爆破。
3.可以先尝试一下把解码出来的图片压缩看一下CRC32码,发现跟Miku.png是一样的就能判断出来是明文了。不过这个题好坑,用WinRAR不行得用bandzip,据说是因为压缩的算法不同【(¦3」∠)】反正下个bandzip,最新版的好像要花钱,挂个旧版的下载链接https://cn.bandisoft.com/bandizip/dl.php?old
4.爆破完之后得到的压缩包里看上去东西好多,先全局搜索下试试
搜关键词“flag”搜到一个base64编码,解出来是个zip,还是加密的,继续找密码,尝试搜关键词“key、pass”
找到密码,打开压缩包是兽语编码
然后base64然后hex就是flag了
ansic
打开一个apk文件,用jadx打开
资源文件下发现一个zip和一个dex
把apk文件改成zip打开,找到这两个文件拎出来
zip是加密的,010打开dex发现提示
找到这个图片,用自带的画图工具修修改改得到正确的图
手撸编码,这里直接借鉴末初大佬的了
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIwODA2NyIsImF1ZCI6IkRTVEJQIiwiaWF0IjoxNjY1MTExODg5LjYwMTY5MjQsImhpbnQiOiJUaGUgU2lnbmF0dXJlJ3MgYmFzZTY0IGlzIFppcCdzIFBhc3N3b3JkIiwiZXhwIjoxNjk2NjQ3ODg5LjYwMTY5MjR9.fBPoMQprLZF280c7jazIApJC4m0PX_Cx9_UnNMGZIP0
然后根据hint了解到jwt爆破这个东东,这里要参照大佬的安装教程
https://www.cnblogs.com/luoyj506/p/c-jwt-cracker.html
再放一个工具的下载地址
https://github.com/brendan-rius/c-jwt-cracker
安好之后爆破 ./jwtcrack 密文
得到这个secret,了解过jwt就可以知道要把它base64加密一下
这个就是压缩包的密码,解压之后是一个jpg和一个class
class用jd-gui打开,看这个编码
要写一个爆破的脚本,原理好像就是挨个字母试,具体脚本参考末初大佬博客【我没太看懂hh】
反正最后得出来的是dstbpsaysthepasswordisbptsd
jpg的话隐写大概率是jphs 密码ptsd 得到flag