buu-15

August 31, 2021 2354

~~（我觉得有必要和流量包打一架~~

[羊城杯 2020]TCP_IP

追踪tcp流，基本每一个tcp流都可以获得一句话，但是和flag没什么关系

image-20210831173315117

ip啊，一开始以为隐写藏在ip地址上，然后获得ascii码，看到非可读字符直接沉默，

事实上隐写的位置在

image-20210831173619471

identification里，然后把所有数字提取~~（别问，问就是手动提取）~~出来，获得ascii码，【解码：https://www.asciim.cn/m/tools/convert_ascii_to_string.html】或者密文，这里的密文为base91【解码：https://www.ruovea.com/base91.html】，解出来再解一次ascii既可以得到flag

1	@iH<,{;oUp/im"QPl`yRie}NK;.D!Xu)b:J[Rj+6KKM7P@iH<,{*;oUp/im"QPl`yR

64 105 72 60 44 123 42 59 111 85 112 47 105 109 34 81 80 108 96 121 82 42 105 101 125 78 75 59 46 68 33 88 117 41 98 58 74 91 82 106 43 54 75 75 77 55 80 64 105 7260 44 123 42 59 111 85 112 47 105 109 34 81 80 108 96 121 82

大概是这样，有重复部分

原理：

https://www.anquanke.com/post/id/85929

image-20210831194620218

https://www.anquanke.com/post/id/85931中有一段![image-20210831193429542](buu-15/image-20210831193429542.png)

从而实现原理

[DDCTF2018]流量分析

从流量包里貌似看到了个熟悉的开头

image-20210831201500282

试图分离压缩包，发现只得到了一个htm文件

看的不是很清楚但是发现

这里有qq邮箱

image-20210831201642296

试图找一下邮件内容

image-20210831201956178

这一串显得非常的可疑

image-20210831202109707

有点东西，再找找

image-20210831202833614

秘钥啊，那估计流量包可以找得到，应该是通过邮件发送

image-20210831203204451

可疑图片，导出看看

image-20210831203335070

看来这个是秘钥了

去识别一下文字，加上密钥头和尾就可以了（这里缝缝补补了好久，识别的时候注意l和1，O和0）

提示一：若感觉在中间某个容易出错的步骤，若有需要检验是否正确时，可以比较MD5: 90c490781f9c320cd1ba671fcb112d1c
提示二：注意补齐私钥格式
-----BEGIN RSA PRIVATE KEY-----
XXXXXXX
-----END RSA PRIVATE KEY-----

这里是密钥文件

然后往流量包里添加私钥

image-20210831205727727

追踪http流获得flag

本文作者：Almond
本文链接：http://example.com/2021/08/31/buu-15/index.html
版权声明：本博客所有文章均采用 BY-NC-SA 许可协议，转载请注明出处！