buuctf-Misc 题目解答分解106-108

106.[DDCTF2018]流量分析

?

?

提示了私钥 ，无厘头，先不管了，应该是流量加密了，用wireshark 打开 看看，真个数据流量，没有http

直接找到TCP 协议的包追踪一下TCP

?

?

找到TCP 不是红色的包追踪，大量的数据表面，这是一些邮箱数据，并且还是加密的

?

到2016 流量包的时候，发现了一张图片

?

复制该base64 直接base64 转图片

Base64解码 Base64编码 UTF8 GB2312 UTF16 GBK 二进制 十六进制 解密 - The X 在线工具

?

这应该就是密钥了吧，进行补全

-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQDCm6vZmclJrVH1AAyGuCuSSZ8O+mIQiOUQCvN0HYbj8153JfSQ
LsJIhbRYS7+zZ1oXvPemWQDv/u/tzegt58q4ciNmcVnq1uKiygc6QOtvT7oiSTyO
vMX/q5iE2iClYUIHZEKX3BjjNDxrYvLQzPyGD1EY2DZIO6T45FNKYC2VDwIDAQAB
AoGAbtWUKUkx37lLfRq7B5sqjZVKdpBZe4tL0jg6cX5Djd3Uhk1inR9UXVNw4/y4
QGfzYqOn8+Cq7QSoBysHOeXSiPztW2cL09ktPgSlfTQyN6ELNGuiUOYnaTWYZpp/
QbRcZ/eHBulVQLlk5M6RVs9BLI9X08RAl7EcwumiRfWas6kCQQDvqC0dxl2wIjwN
czILcoWLig2c2u71Nev9DrWjWHU8eHDuzCJWvOUAHIrkexddWEK2VHd+F13GBCOQ
ZCM4prBjAkEAz+ENahsEjBE4+7H1HdIaw0+goe/45d6A2ewO/lYH6dDZTAzTW9z9
kzV8uz+Mmo5163/JtvwYQcKF39DJGGtqZQJBAKa18XR16fQ9TFL64EQwTQ+tYBzN
+04eTWQCmH3haeQ/0Cd9XyHBUveJ42Be8/jeDcIx7dGLxZKajHbEAfBFnAsCQGq1
AnbJ4Z6opJCGu+UP2c8SC8m0bhZJDelPRC8IKE28eB6SotgP61ZqaVmQ+HLJ1/wH
/5pfc3AmEyRdfyx6zwUCQCAH4SLJv/kprRz1a1gx8FR5tj4NeHEFFNEgq1gmiwmH
2STT5qZWzQFz8NRe+/otNOHBR2Xk4e8IS+ehIJ3TvyE=
-----END RSA PRIVATE KEY-----

保存这个为key.txt

接下来用wireshark 导入这个key ，点击编辑-首选项-Protocols-选择TLS

?

?

点击EDitor ，然后点击+

?

?

再点击Key File 上传刚才的key.txt

?

然后搜索，http

?

得到flag

DDCTF{0ca2d8642f90e10efd9092cd6a2831c0}

107.[ACTF新生赛2020]music

?

?

解压下载的压缩包里面是两个压缩包

?

解压后是一个m4a文件，但是打不开 ，提示文件错误

?

用010 editor 打开 看看

?

发现很多的A1，应该是异或

使用010 editor 进行异或操作

?

?

保存

?

就能正常听到语音了

语音内容是actf abcdfghijk

得到flag flag{abcdfghijk}

108.[MRCTF2020]Unravel!!

?

下载完压缩包解压后

?

?

win-win.zip 是加密的

打开音频 ，提示文件末尾 ，用010 editor打开

在末尾发现一串字符

?

y=U2FsdGVkX1/nSQN+hoHL8OwV9iJB/mSdKk5dmusulz4=

尝试用base64 解密一下

Base64 在线编码解码 | Base64 加密解密 - Base64.us

?

发现有盐加密 ，但是没有密钥也不确定是什么加密

转向图片

?

用Stegsolve.jar 打开

进行数据

?

?

?

发现是一个压缩包

改后缀为zip 文件，解压

?

得到密钥 Tokyo 并且是aes 加密

解密网站解密下

AES加密-AES解密-在线AES加密解密工具

?

得到 CCGandGulu 用这个解压压缩包 win-win

得到Ending.wav

使用 silenteye 打开 https://zenlayer.dl.sourceforge.net/project/silenteye/Application/0.4/silenteye-0.4.1-win32.exe

?

flag MRCTF{Th1s_is_the_3nd1n9} ?