汉客儿2019支付宝加密红包设计思路

0x0. 前言

去年春杰也弄了个加密红包，主要技巧在使用了汇编xor变换口令。今年在30天抢红包的时候突然想起这茬，怎么的也得再弄一个吧。

作为技术公众号，不能太low了，怎么通过技术来实现加密红包，设计思路是个问题。

思前想后，突然想到前两天弄的语音聊天记录，计上心来。

0x1. 设计思路

先想好一段逼格满满的口令祝福语，然后呢，哈哈...

1. 语音口令

用我醇厚磁性性感的声音把红包口令念出来，通过微信语音发给了测试号。

1.png

看到微信语音识别的第一个字（应该是汉），我想骂人，我标准的普通话这么差吗，肯定是微信语音识别技术不行，对，肯定是！

用SuperWechatPC帮我把语音文件保存下来（这段具体看上篇技术文章）。

wxid_xxx_868582433761853487.silk

2. 压缩隐藏

然后怎么给隐藏起来，加密？编码？挺麻烦的，难想。

嗯，直接压缩成zip得了，再设上一个文件密码。

密码怎么提示出来呢？写到zip文件结尾呗，这样应该很简单吧。

2.png

还得base64一下，明文很没意思，base64编码特征还更明显。

>>> base64.b64encode('xxxxxxxx')
'xxxxxxxxxxx'

好像有点简单，那就把头部magic抹掉，想来各位大佬肯定能够还原的。

3. 图片合并

最后再来点什么，以什么形式发出来呢？

把支付宝红包图片保存，口令马赛克一下，然后把图片和zip组合成一张图片。

copy /B 2.jpg+3.xxx 3.xxx.jpg

完成，活脱脱一个ctf题目。

3.png

0x2. 后语

整个思路其实挺简单的，只是觉得文字口令以语音的形式表现出来很有意思，其他手段都比较常规。

昨天放出来后，不知道有多少爱折腾的技术男无聊玩解题的，不过我知道的至少还是有2个的。

我特别不好意思的是，昨天zip口令改过一次，第一次口令觉得提示太明显，改成了另一个，结果没有同步zip文件，导致这2位同学最后怀疑自己，没能拿到红包，这里说声sorry了，我的锅。

另外，因为微信公众号图片会变成webp格式，文件完全变化了，没法只好上传百度云盘，结果没想到链接挂了，也是无语。

最后，不是舍不得给红包，本身红包也不是特别大，只是为了好玩，技术其实是好玩的。

引用这位同学的话：

4.png

最后的最后，再把题目文件重新上传云盘，这次修复了，保证应该（？？？）没问题！

要拿到红包还是得自己动手的！

另外的另外，明年还希望能够玩一次。