北极熊不怕冷

题目

妈妈,为什么北极熊不怕冷啊？

解题报告

其实题目和内容没有什么联系...

首先用wireshark打开这个报文，过滤HTTP协议，得到4个报文，其中一个报文的信息里面提到了关键词“files.zip”。在wireshark中点击File-Export Objects-Http，找到其中体积最大的提取出来。用文本编辑器打开发现这是files.zip，并且前面添加了一些头信息。将头信息去掉，使得文件开头是[50 4B]，添加后缀名zip即可。此时解压文件需要密码，注意二进制中的加密位被置为09，改为00即可，这是zip的虚假加密。（将开头的50 4B 03 04 14 03 09 00改为50 4B 03 04 14 03 00 00），解压得到flag与SECRET。

另外，实际上使用binwalk直接去检查这个报文，也可以发现藏在里面的zip.把报文后缀改成zip如上操作也是可以的。

其中flag是FLAG的加密后的内容，SECRET是一段python代码，里面包含了一个加密函数。实际 上是AES的CBC模式的加密，只是代码上要注意参数即可。SECRET中已经包含了了AES加密所需要的key和iv，逆向写出解密函数即可，要注意一些位的操作。其中一行注释提示了FLAG的加密 过程，参考CBC的加密模式可以反解。下面的解法不唯一，仅供参考。

key= 'VbLeHo2Cwpm3INcllb/l9Q=='.decode('base64') 
def decrypt(enc): 
    return unpad(AES.new(key,AES.MODE_CBC,enc[:16]).decrypt(enc[16:])) 
print"The Flag is that: "+decrypt(SECRET[64:].decode('hex'))

运⾏行行得到结果 000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000000000011000001100111111001111111100011111100000111000011111111011000001101111111100111111110000011100001100001100110000011011000011011 0000011011000011000110110000001100001100000110110000011011000001100011011000011001100011000001101100000001100000110110000000011000110000011000011000001101100000110110000011 00110001100001111000011111111100111111001111111100011111100110000011000011000011000001101111111100110000011011000001100001100000110000011000000011011000001100000001101111111110 00011000011000001101100011000110000011011111111100001100000110000011011000011011000001101100001101100000110000110000110000011011000011001100000110110000011000011000001100000 11001111110011111111000111111001100000110000110000011111010011000001101111111100110000011000011000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

排序之后得到下图

Flag

HSCTF{HSBSATURDAY}