Easy_Data

Flag得分： 28.47

得分次序： 140

公司的DLP软件报警了，并上传了一段流量。你能帮bob分析下为什么会产生报警么？

5G网络隐私保护

213.33PT

新技术应用

Flag得分： 380

得分次序： 67

Get_supi

在某些场景下，LTE网络中用户的IMSI会在空口暴露，5G网络是如何进行隐私保护的？网络侧如何得到用户的SUPI？（提交请加上flag{}）

---

---

WP部分

打开zip

就一个单的流量数据包

打开

先按照协议内容进行观察

看到SMTP协议中的一行流量就很明显地在说这个流量包是在传邮件时的流量

打开zip

就一个单的流量数据包

打开

先按照协议内容进行观察

看到SMTP协议中的一行流量就很明显地在说这个流量包是在传邮件时的流量

打开zip

就一个单的流量数据包

打开

先按照协议内容进行观察

看到SMTP协议中的一行流量就很明显地在说这个流量包是在传邮件时的流量

大概就知道，是由 wangtao@service.com传出，zhangwei@ctf.com收到邮件

追踪写有HELO的流量的TCP流，猜测它里面包裹有正文

在里面发现以下内容

Content-Type: multipart/mixed; boundary="===============1491263062406185995=="
​
MIME-Version: 1.0
​
From: =?utf-8?b?c2VydmljZeWFrOWPuOmUgOWUrg==?=
​
To: =?utf-8?b?5a6i5oi3?=
​
Subject: =?utf-8?b?55u45YWz6LWE5paZ6K+35p+l5pS2?=
​
​
​
--===============1491263062406185995==
​
Content-Type: text/plain; charset="utf-8"
​
MIME-Version: 1.0
​
Content-Transfer-Encoding: base64
​
​
​
5byg5oC75oKo5aW977yM6ZmE5Lu25piv5oKo5LiK5qyh6KaB55qE6LWE5paZ77yM5Y6L57yp5a+G
​
56CB5piv5LuK5aSp5piv5Liq5aW95pel5a2QKOaLvOmfsynjgILor7fmn6XmlLbjgII=
​
​
​
--===============1491263062406185995==
​
Content-Type: text/base64; charset="utf-8"
​
MIME-Version: 1.0
​
Content-Transfer-Encoding: base64
​
Content-Type: application/octet-stream
​
Content-Disposition: attachment; filename=".......zip"
​

​

粗略阅读得知，文本被base64加密了，传过去的有文本和一个zip文件

断网环境用随波逐流也能直接解base

解出得到文本内容

5byg5oC75oKo5aW977yM6ZmE5Lu25piv5oKo5LiK5qyh6KaB55qE6LWE5paZ77yM5Y6L57yp5a+G
​
56CB5piv5LuK5aSp5piv5Liq5aW95pel5a2QKOaLvOmfsynjgILor7fmn6XmlLbjgII=

————->

张总您好，附件是您上次要的资料，压缩密码是今天是个好日子(拼音)。请查收。

然后把zip的一起base64解密成16进制

用010什么的保存然后改后缀为zip即可

最后看到有密码，用前面文本中的密码解密即可

得到flag

---

打开是个流量数据包和一个zip，zip多半无用，先不管

打开数据包

根据题干显示要去找IMSI

做过选拔赛的流量分析就一定会对这个IMSI有印象

直接去看info栏哪里会含IMSI就好

而且实际上并不难找，HEADER里面大段大段的都含有IMSI内容，把值用flag包裹起来即可