西湖论剑2023初赛misc复现
前言
拖了好久好久才来复现初赛的题目,话说都到线下决赛怎么还有人在看初赛的题,楽。
take_the_zip_easy
看到文件名称,猜测dasflow.zip就是dasflow.pcapng的压缩包。于是用bkcrack明文攻击
echo dastflow.pcapng > plain.txt&&time bkcarck -C zipeasy.zip -c dasflow.zip -p plain.txt -o 30 -x 0 504b0304
成功后就能看到三段加密的key了。attack的时候注意一下电脑的性能。2b7d78f3 0ebcabad a069728c
然后用key压缩包,成功获得里面的流量。
bkcarck -C zipeasy.zip -c dasflow.zip -k 2b7d78f3 0ebcabad a069728c -o dasflow.zip
流量特征观察发现这是个哥斯拉马的流量,eval.php文件是加密木马,搜索flag关键字能看到有个flag.zip文件.
eval.php是通过异或加密的,那么解密脚本就没什么好说的.义眼盯着
<?php
function encode($D,$K){
for($i=0;$i<strlen($D);$i++){
$c = $K[$i+1&15];
$D[$i] = $D[$i]^$c;
}
return $D;
}
$air123='J%2B5pNzMyNmU2mij7dMD%2FqHMAa1dTUh6rZrUuY2l7eDVot058H%2BAZShmyrB3w%2FOdLFa2oeH%2FjYdeYr09l6fxhLPMsLeAwg8MkGmC%2BNbz1%2BkYvogF0EFH1p%2FKFEzIcNBVfDaa946G%2BynGJob9hH1%2BWlZFwyP79y4%2FcvxxKNVw8xP1OZWE3';
$pass='air123';
$payloadName='payload';
$key='d8ea7326e6ec5916';
echo gzdecode(encode(base64_decode(urldecode($air123)),$key));
?>
因为flag.zip是加密过的,所以在传输flag.zip文件流的附近查看,预计有加密zip的命令.尝试解密tcp 36中的命令.
解密之后就能看到加密的密码了airDAS1231qaSW@,解开压缩包获得DASCTF{7892a81d23580e4f3073494db431afc5}
mp3
查看MP3文件结尾,找到一张png图片
zsteg查看发现有个zip,并导出
直接打开zip会显示文件损坏,不用管直接,忽略错误就可以。
看到里面的47.txt文件被加密了,尝试用mp3stego在mp3里面寻找密码.用空密码解密.
找到加密密码8750d5109208213f
解密后里面的内容很抽象QAQ,根据文件名,猜测用rot47加密的,解密后获得js脚本。
放控制台跑一下即可getflag--DASCTF{f8097257d699d7fdba7e97a15c4f94b4}