202507_QQ_caidundun

Tags:流量分析,Base64

0x00. 题目

菜墩墩在自己本地模拟了黑客攻击网站的流量，并提供了一段流量，你知道他都做了哪些操作呢？

格式：flag{xxxx}。

---

附件路径：https://pan.baidu.com/s/1GyH7kitkMYywGC9YJeQLJA?pwd=Zmxh#list/path=/CTF附件

附件名称：202507_QQ_caidundun.zip

0x01. WP

1. 从GET请求中筛选十六进制字符串

http.request.uri contains "/admin/article?id=1'key=" && http.request.method == "GET"

导出后进行解码得到flag前半部分

61475673624738676147466a613256794946526f61584d6761584d67623235736553426f5957786d4947396d4948526f5a53426d6247466e653259334f4445795a445534595456695a5745334e32493d
# HEX2ASCII
aGVsbG8gaGFja2VyIFRoaXMgaXMgb25seSBoYWxmIG9mIHRoZSBmbGFne2Y3ODEyZDU4YTViZWE3N2I=
# Base64decode
hello hacker This is only half of the flag{f7812d58a5bea77b

2. 在最后一个恶意POST请求响应包中找到另一部分可疑字符

MTgxNjhiYmRiNjUyZjczM30=
# Base64decode
18168bbdb652f733}

最终拼接后得到flag为flag{f7812d58a5bea77b18168bbdb652f733}