2024红明谷杯——Misc 加密的流量
写在前面:
这里是贝塔贝塔,照例来一段闲聊
打比赛但赛前一波三折,又是成功签到的一个比赛
说起来比赛全名叫红明谷卫星应用数据安全场景赛,但好像真的跟卫星的关系不大,没有bin方向的赛题,只有crypto、misc和web,我不好评价,我不好说.wav
给大家推荐 知我 ,真的很好听!
【进入正文】
签到题
签到题没什么好说的,是一个百度的坐标,可以使用下面这个链接获得答案
flag{三明北站}
地图坐标系转换 - 在线工具 (tool.lu)
加密的流量
正常的分析流量过程
首先查看会话和协议,协议只有UDP和IPv4协议,
简单分析下就可以发现IPv4的数据合起来在UDP31流里面,因此可以直接分析UDP
UDP 4报文出现了十六进制
HANDSHAKE
UDP 5报文
AES-EBC FF
出现了一个写错的加密方法和不知道什么时候会出现的FF,一般在这种情况下突然出现的话很有可能跟xor有关系
因为ecb模式不需要iv偏移,因此接下来我们只需要寻找一个key和密文,
7和31报文比较类似,先是一个重复的十六进制,然后便不同了
可以怀疑重复的十六进制部分可能是aes的key,不同的部分是密文
接下来就是对于ff的使用位置的问题
要么是异或key,要么是异或密文的部分
异或密文的部分可以发现是乱码,异或key的部分可以
可以看到这是一个测试flag,思路是没有问题的
那么真正的flag应该在第31报文
同样思路解密第31报文,得到一个office文件,
在最后可以发现是明显的excel文件,可以利用cyberchef来保存文件
打开发现有宏
直接使用工具
pip3 install oletools
olevba download.ole2
或者使用excel(wps不太好用.jpg
有一个十六进制字符串xor了一下,不知道xor的key就爆破嘛
提问:为什么这里的excel的十六进制不是zip格式的呢?
我感觉是由于生成版本的问题,如果有其他看法欢迎来交流哦
overover~完结撒花★,°:.☆( ̄▽ ̄)/$:.°★ 。
