前言

拖了好久好久才来复现初赛的题目，话说都到线下决赛怎么还有人在看初赛的题，楽。

take_the_zip_easy

看到文件名称，猜测dasflow.zip就是dasflow.pcapng的压缩包。于是用bkcrack明文攻击

echo dastflow.pcapng > plain.txt&&time bkcarck -C zipeasy.zip -c dasflow.zip -p plain.txt -o 30 -x 0 504b0304

成功后就能看到三段加密的key了。attack的时候注意一下电脑的性能。2b7d78f3 0ebcabad a069728c

然后用key压缩包,成功获得里面的流量。

bkcarck -C zipeasy.zip -c dasflow.zip -k 2b7d78f3 0ebcabad a069728c -o dasflow.zip

流量特征观察发现这是个哥斯拉马的流量,eval.php文件是加密木马,搜索flag关键字能看到有个flag.zip文件.

eval.php是通过异或加密的,那么解密脚本就没什么好说的.义眼盯着

<?php
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++){
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$air123='J%2B5pNzMyNmU2mij7dMD%2FqHMAa1dTUh6rZrUuY2l7eDVot058H%2BAZShmyrB3w%2FOdLFa2oeH%2FjYdeYr09l6fxhLPMsLeAwg8MkGmC%2BNbz1%2BkYvogF0EFH1p%2FKFEzIcNBVfDaa946G%2BynGJob9hH1%2BWlZFwyP79y4%2FcvxxKNVw8xP1OZWE3';
$pass='air123';
$payloadName='payload';
$key='d8ea7326e6ec5916';
echo gzdecode(encode(base64_decode(urldecode($air123)),$key));
?>

因为flag.zip是加密过的,所以在传输flag.zip文件流的附近查看,预计有加密zip的命令.尝试解密tcp 36中的命令.

解密之后就能看到加密的密码了airDAS1231qaSW@,解开压缩包获得DASCTF{7892a81d23580e4f3073494db431afc5}

mp3

查看MP3文件结尾,找到一张png图片

zsteg查看发现有个zip,并导出

直接打开zip会显示文件损坏，不用管直接，忽略错误就可以。

看到里面的47.txt文件被加密了,尝试用mp3stego在mp3里面寻找密码.用空密码解密.

找到加密密码8750d5109208213f

解密后里面的内容很抽象QAQ，根据文件名，猜测用rot47加密的，解密后获得js脚本。

放控制台跑一下即可getflag--DASCTF{f8097257d699d7fdba7e97a15c4f94b4}