今天我们要解决的这个挑战赛十分有趣，该挑战赛名为SpyderSec。我们将其搭建在VirtualBox虚拟机并打开Nmap瞧一瞧，Nmap扫描之后得到其仅开放了一个80端口，在浏览器键入192.168.0.7我们看到一个网页。

获得.FBI视频文件

‍‍对目标使用WEB模糊测试工具dirbuster，然而没有获得有趣的信息。这里我们看到存在一个名为V的目录，还禁止访问。‍‍

回到网页，查看其源代码。这里我们发现了一段混淆过的JavaScript脚本代码：

对这段JavaScript脚本进行反混淆后，得到一串16进制代码：

解密16进制ASCII码，我们发现了一个JS alert通知

从上图中我们可以看到其是要打印mulder.fbi，它看起来像是某种类型的文件。为Burp Suite配置浏览器后开始截断该应用通信流量，我们发现set-cookies中指定了URL，而且是一个目录路径

打开该目录显示禁止访问，然后在目录名之后我们再增加了从JavaScript mulder.fbi得知的文件名，ok

解密图片获得密码

通过Google搜索FBI文件格式，得知这是一个视频文件格式。尝试播放这个视频，但是什么东西都没有。接着只好再到web页面去挖掘其他一些有用的线索，将整个html页面都保存下来。在其中一个文件夹中我们发现了一张名为challenge.png的图片：

尝试检测图片的元数据(Meta data)以挖掘更多的线索，将其上传到在线ExifTool网站：

得到该图片的所有元数据，在comment部分是一串16进制代码。

解密16进制代码获得一个base64字符串，解密base64字符串后得到一些看起来像是密码的东西。

成功拿到flag

现在我们拥有mulder.fbi文件和一个看起来像是密码的字符串，Google搜索视频锁，我们在一篇文章中看到可以通过使用TrueCrypt工具在视频中隐藏信息的方法。打开TrueCrypt后会安装一个驱动，并提示我们输入密码。使用之前获取到的密码，其在我们的电脑中创建了一个磁盘。

就像我们看到的，有一个驱动正在被安装：

打开硬盘发现flag.txt文件：

参考资料

https://www.vulnhub.com/series/spydersec,66/

http://oskarhane.com/hide-encrypted-files-inside-videos/

*原文地址：infosecinstitute，编译/ 鸢尾，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）