Misc__0">2024红明谷杯——Misc 加密的流量

写在前面：

这里是贝塔贝塔，照例来一段闲聊

打比赛但赛前一波三折，又是成功签到的一个比赛

说起来比赛全名叫红明谷卫星应用数据安全场景赛，但好像真的跟卫星的关系不大，没有bin方向的赛题，只有crypto、misc和web，我不好评价，我不好说.wav

给大家推荐 知我 ，真的很好听！

【进入正文】

签到题

签到题没什么好说的，是一个百度的坐标，可以使用下面这个链接获得答案

flag{三明北站}

地图坐标系转换 - 在线工具 (tool.lu)

加密的流量

正常的分析流量过程

首先查看会话和协议，协议只有UDP和IPv4协议，

简单分析下就可以发现IPv4的数据合起来在UDP31流里面，因此可以直接分析UDP

UDP 4报文出现了十六进制

HANDSHAKE

UDP 5报文

AES-EBC FF

出现了一个写错的加密方法和不知道什么时候会出现的FF，一般在这种情况下突然出现的话很有可能跟xor有关系

因为ecb模式不需要iv偏移，因此接下来我们只需要寻找一个key和密文，

7和31报文比较类似，先是一个重复的十六进制，然后便不同了

可以怀疑重复的十六进制部分可能是aes的key，不同的部分是密文

接下来就是对于ff的使用位置的问题

要么是异或key，要么是异或密文的部分

异或密文的部分可以发现是乱码，异或key的部分可以

可以看到这是一个测试flag，思路是没有问题的

那么真正的flag应该在第31报文

同样思路解密第31报文，得到一个office文件，

在最后可以发现是明显的excel文件，可以利用cyberchef来保存文件

打开发现有宏

直接使用工具

pip3 install oletools

olevba download.ole2

或者使用excel（wps不太好用.jpg

有一个十六进制字符串xor了一下，不知道xor的key就爆破嘛

提问：为什么这里的excel的十六进制不是zip格式的呢?
我感觉是由于生成版本的问题，如果有其他看法欢迎来交流哦

overover~完结撒花★,°:.☆(￣▽￣)/$:.°★ 。