[XMAN2018排位赛]file
给的题是一个img文件,光盘映像文件,貌似之前做过但是忘了
1.遇到这种文件先挂载,在Linux里
这一系列操作要在root里进行,然后发现下边显示的一大串里头没有flag
2.然后就要修复
注意这一操作要再开一次终端进行
然后就发现有一个新的文件夹
3.打开这个文件夹里头有个文件,用记事本打开之后往右划有flag,不过它还每个字符之间空了格,得删掉
flag{fugly_cats_need_luv_2}
[HDCTF2019]你能发现什么蛛丝马迹吗
1.又是一个img文件,尝试了一下上一道题的挂载,不对了
2.又有新方法了,分析
OK这里是长达一个半小时与虚拟机的斗争,先是安装可执行文件volatility,然后改环境变量,最后还是没能成功
好吧我得把要分析的img文件移到这个目录底下才行
成功了,狠狠哭
3.现在记录下不知道为何如此麻烦的步骤
(1)用这个命令在网站上直接下volatility可执行文件的压缩包
git clone https://github.com/volatilityfoundation/volatility.git
我这个虚拟机要在root的kali里用这个命令才好使
(2)解压缩,把这个文件放到档案系统里的sbin文件夹里
(3)加环境变量然后查看确认一波
这里奇怪的是每次打开终端都得重新加一次环境变量
(4)然后就可以用volatility命令了
volatility -f memory.img imageinfo
(这里在记录一下这个zsh: permission denied: volatility报错应该就是环境变量的问题)
4.进入正题,这步之后可以看到profile里边有三个东西,大佬的wp里直接一波猜测是Win2003SP1x86???
5.下一步叫查看进程
volatility -f memory.img --profile=Win2003SP1x86 pslist 6.然后大佬说发现了DumpIt.exe,确实最后一行是有这个东西
至于原理等我搞完再查
7.下一步查看cmd命令使用记录
volatility -f memory.img --profile=Win2003SP1x86 cmdscan
8.发现Flag字样,将DumpIt.exe这个程序dump下来
9.foremost这个1992.dmp,得到的output里有个png文件夹,里边是一个二维码和一个带字的图片
10.二维码扫出来是jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
key的那张是
key: Th1s_1s_K3y00000 iv: 1234567890123456
iv是偏移量,推测是AES加密
成功了,狠狠哭
flag{F0uNd_s0m3th1ng_1n_M3mory}
复盘时间
首先这个是内存取证,先放一个大佬的浅析内存取证https://blog.csdn.net/qq_43431158/article/details/108904536
然后那个需要分析的profile
而我们在虚拟机上的第一步就是为了确定内存镜像的版本,然后第二步是搜索一下进程,看看出题人做了些什么操作,貌似基本就是各种exe,大佬的浅析里举了几个例子和解决方法
然后这个dump命令是一个备份命令,dump 为备份工具程序,可将目录或整个文件系统备份至指定的设备,或备份成一个大文件。
OK这个内存取证还是需要再学习学习
[*CTF2019]otaku
1.一个压缩包,里边有一个加密的压缩包和一个Word文档
2.Word文档里有隐藏的文字,在文件->选项->
这样就可以看到隐藏文字了,被隐藏的文字下边有虚线
不过被隐藏的文字不能直接复制,要选中后右键字体里边把隐藏字体勾掉
复制到TXT里
3.比赛里有个提示是GBK encoding,不过buu里没有,要通过python脚本把utf改成GBK
脚本
4.加密的压缩包第一层是伪加密
5.第二层是明文攻击,明文就是之前文档里隐藏的文字转为gbk码
CR32和文件大小都是一样的
狠狠成功
6.stegsolve发现flag
这步用zsteg也可以,这个命令需要安装一下
其实就是lsb隐写
真的很杂
1.解压压缩包发现一个图片,很明显这不是flag
2.010发现有隐藏压缩包
foremost它,然后发现里边有好多好多东西,惊了
还有个压缩包,包里也有好多东西
3.OK这是一个安卓逆向,把foremost出来的的压缩包改成apk模式
因为压缩包里有这些文件
4.下一个jadx反编译,解压后在lib文件夹里运行jadx-gui-1.3.3java(可以用cmd)
5.找到反编译代码,里面就有flag
但是这里有个问题就是a2是字母c,b2是数字3,这应该就是题里说的暴力破解
[RCTF2019]disk
1.一个什么VM文件,之前见过但是忘了咋做了...
先010发现前半部分flag
rctf{unseCure_quick_form4t_vo1ume
2.右键用7z打开
得到一个FAT文件,好眼熟...
3.下一个VeraCrypt进行挂载
密码猜测是rctf
然后会发现电脑里多了一个M盘,里边有东西
图片的文件名是让我们忽略它,看下txt
这里有个知识点,挂载时输入的密码不同,挂载出来的东西就不同,重新挂载,密码RCTF2009,打不开要格式化,化完啥也没有
4.这波应该用010打开磁盘查看,不过我这报错了
应该用管理员身份运行
打开之后就能看到另一半flag了
flag{unseCure_quick_form4t_vo1ume_and_corrupted_1nner_v0lume}
[GUET-CTF2019]520的暗示
1.一个dat文件
找了wp说是要与33异或,没整明白为啥要跟33异或...
异或出来一张图片
然后是根据LTE定位这个基站,没找到怎么定位0-0
最后定位到桂林电子科技大学花江校区
flag{桂林电子科技大学花江校区}
[XMAN2018排位赛]AutoKey
又是一道实在弄不出来的题,心累
1.给了一个流量包,看大家的普遍做法是用UsbKeyboardDataHacker.py,但是我用这个就说我没有库
想了一下应该是安装到python3里边了,但是怎么单独安到python2里我没搞明白
然后发现了另一种做法,参考大佬
https://www.btis.site/2020/06/02/06-02-做题小记/#XMAN2018排位赛-AutoKey
这边是得到了需要进行autokey的密文
把del前边的字符删掉即可,然后问题又来了,一模一样的问题,少库,pip一安装就安到python3里边...
经过了n种方法,最后还是不行,最后的最后我尝试了一种最离谱的办法,把python3文件夹里的库文件夹复制到python2里,竟然成功了(这只是意外,不小心看到我博客的人不要效仿...)
这里的klen8是可读的语句,flag就是FLAGIS后边的那一串
flag{JHAWLZKEWXHNCDHSLWBAQJTUQZDXZQPF}
[BSidesSF2019]diskimage
1.diskimage是磁盘映像的意思,给了一张图片,binwalk发现东西
2.有一个zlib压缩数据,结合这张图片上边有一块黑乎乎的,可以基本判断是lsb隐写,可以用之前用到过的zsteg隐写工具,zsteg -h可以查看所有的方法,这里选择zsteg -a
3.可以看到有一个FAT
zsteg -e 'b8,rgb,lsb,xy' attachment.png > data.dat
可以用这个命令把这个文件提取出来
4.然后用testdisk分析
5.流程就是[Proceed]-[None]-[Boot]-[Rebuilds BS]-[List]-找到_LAG.ICO然后按c然后再按c
ps:前边几步都是一路回车,找文件那里要往下翻一翻,那个文件会标红,用这个命令要把字体调小一点
6.最后就得到了一个像图片的文件,图片上的字就是flag
[NPUCTF2020]碰上彩虹,吃定彩虹
1.题里给了三个东西
2.第一个TXT里全选发现有隐藏的东西,用sublime看(要选中看)
摩斯解码解出来是autokey
这边也可以把Tab换成——,空格换成.
3.另一个TXT是这样的文字,肯定是有隐藏的东西
控制台看一下
0宽度隐写没错了
但是这里要把下边的勾上前三个才行
4.NTFS老熟人了
浅浅导出
字频统计
base64
encrypto,百度下是个解密软件
下下来然后要把那个secret后缀改成.crypto
5.到这步想起来了第一个txt里得到的autokey,不是密码,搜了一下是一种加密,需要一个脚本
脚本
找到一个这个
iamthepasswd(but这好像不是密码啊)
用strings康一下
看wp说是当时有提示要删掉什么东西
用010删一下
再用iampasswd解密得到一张彩虹.png
PS登场,六个黄色的十六进制末尾数不同70、40、40、73、57、64
转ASCII码p@ssWd
but这密码是用来干啥的呢...
6.foremost一下彩虹.png得到一个加密压缩包,解压得到一个docx
一堆小写字母里藏着几个大写字母,连起来是ALPHUCK,ALPHUCK加密是只有epacisjz这7个小写字母
在线解密
flag{1t's_v3ry_De1iCi0us~!}