2024 长城杯信息安全铁人三项赛 Misc Writeup
不愧是竞速长城杯,时间这么短,只能说强度很高。
题目附件下载链接:
链接: https://pan.baidu.com/s/1ue27yRbxSXRTAR23MjOE_g?pwd=riki 提取码: riki
题目名称 压一压
题目附件给了一个 压一压.zip,然后里面有一个 flag.7z 和一个 pass.txt
pass.txt 中是一串有一个 ? 的字符串,经过尝试发现是掩码爆破
试着手动解了几层,发现一共有三种类型的压缩包:7z、rar、zip
于是写一个 Python 脚本逐层爆破解套即可
全部解压完以后可以得到一个 flag.txt ,内容如下
|
|
由此可知有信息隐藏在了掩码中的?里,于是进一步修改脚本,提取每层密码中的?位置的字符
全部提取完后,仔细观察发现了 89504e470d0a 这个图片的文件头,使用 CyberChef 转为图片可以得到下图
由这个提示可知,压缩包的后缀隐写了摩斯电码,修改脚本将隐写的数据提取出来,然后解摩斯电码即可得到 flag
完整的提取脚本如下:
|
|
题目名称 Flow
题目附件给了一个流量包,打开,拉到最下面,追踪TCP流
看到一串熟悉的字符串,base32解码即可得到 flag:flag{0ddeff-g9ef9ef0-defffef-mkt25gtf-kf}
题目名称 pcap
题目附件给了一个流量包,打开发现主要是 HTTP 和 TCP 流量
尝试直接导出 HTTP 对象,筛选一下,发现在里面发现一个 file.zip
直接导出即可得到一个加密的压缩包
在压缩包的注释中得到 key:66666666,压缩包中还有一个 1.txt
直接用 010 打开压缩包,尝试修改两个加密位后发现是伪加密
解压压缩包后可以得到一大串 base64 编码后的字符串,猜测是 base64隐写,这里就偷懒直接用 Puzzle Solver 一把梭了
解密 base64 隐写后可以得到密文,结合之前得到的 key,经过尝试发现是 DES 加密 因此我们直接 DES 解密即可得到 flag:flag{2_Hell0_ctf_world_2}
题目名称 clocked
题目附件给了一个压缩包,打开发现缺少了文件头,给它补上 504B0304
解压后得到了一个 elephant 文件,用010打开发现是一张base64编码后的图片
用CyberChef解码即可得到以下图片
然后用 cloacked-pixel 解密即可,密钥就是 cloacked-pixel
然后用010打开发现是个压缩包,该后缀为 zip 解压即可得到flag
flag{just_a_demo_picture}
题目名称 ctfer
附件给了一个加密的压缩包,直接用弱密码爆破得到密码是123321
解压压缩包可以得到一个 ctfer.png 和一个 secret.py
secret.py 内容如下
|
|
根据提示可以知道那个 png 图片中藏了一个 wav 文件
根据 wav 的文件头手动提取即可
把 wav 文件头前的所有数据都删除,然后用 CyberChef 解码并保存即可
然后用stegpy解密即可得到flag,解密密钥就是 secret.txt 中的 Hav1F6n
flag{57d69ef29caff0c7ad2fc921ee6c8e06}
题目名称 Device
题目附件给了一个 pcapng 流量包文件,用Wireshark打开发现一堆红条和黑条,因此猜测是加密了
在没有解密的情况下翻阅流量包,发现有两个可疑文件,server.key 和 keep_going.jpg
因此尝试将这两个文件导出
图片导出的时候,wireshark直接选择原始数据然后另存为即可
然后在010中打开,把 jpg 文件头前的数据删除改后缀为.jpg即可得到图片
发现 server.key 的内容是RSA私钥,因此联系以前做过的题目,感觉是TLS加密
因此我们打开 编辑->首选项->Protocols->TLS ,并把 server.key 导入
点击确认后再查看流量包,发现已经解密了(这里如果无法解密,有可能是Wireshark有问题,可以重新安装一个)
直接在过滤器中输出 tls 进行过滤,就可以看到解密后出题人的各种操作
然后在流 3132 中可以看到哥斯拉的代码,然后加密的 key=e45e329feb5d925b
有了加密的 key 之后就可以开始解密后面的操作了,具体的解密原理可以看我流量分析的那篇博客
然后在流 3149 中发现了 picture_passwd=053700357621
然后直接用这个密钥 steghide 解密之前提取出来的那张图片即可得到 flag:flag{i_am_4_Sk111ed_H4ck32}
这里还有一个小插曲,就是出题人在test目录下写了一个假的flag,可能有的师傅被这个假flag误导了
但是综上所述,只要会解密 TLS 和哥斯拉流量,这道题还是不难的。
很多师傅分析 Webshell 流量都是用一把梭脚本辅助分析的,之前自己也写过冰蝎的一把梭脚本
哥斯拉的一把梭脚本就等我之后写完再放上来吧
题目名称 RSA
|
|
先用 yafu 对n进行分解
|
|
题目名称 problem
|
|