gogogo
考点:内存取证
得到 gogogo.raw 内存取证的题用volatility和AXIOM结合分析
AXIOM 分析存在云服务 但是百度网盘要密码
https://pan.baidu.com/share/init?surl=ZllFd8IK-oHvTCYl61_7Kw
发现访问过sqlite数据库 可以尝试提取数据库文件出来
结合 volatility 第一步先看 粘贴板vol.py -f gogogo.raw --profile=Win7SP0x86 clipboard
有 cwqs
猜测可能是百度网盘密码
得到 pwn=?.zip
但是还有密码 缺少关键信息
提取 places.sqlite
数据库文件
扫描:vol.py -f gogogo.raw --profile=Win7SP0x86 filescan |grep "places.sqlite"
提取sqlite文件vol.py -f gogogo.raw --profile=Win7SP0x86 dumpfiles -Q 0x000000007f634f80 -D ./
打开 数据库文件 发现在moz_place
发现访问网址
访问 https://space.bilibili.com/3546644702301067
提示pwd=uid uid=3546644702301067
这个是压缩包密码
打开后为 flag.zip 和键盘流量lqld.pcapng
直接 usb流量一把梭
niuo ybufmefhui kjqillxdjwmi uizebuui
dvoo
udpn uibuui jqybdm vegeyisi
vemeuoll jxysgowodmnkderf dbmzfa hkhkdazi
zvjnybufme hkwjdeggma
na mimajqueviig
kyllda doqisl ba
pnynqrpn
qrxcxxzimu
输入法拼音双键联想 注意na mima
注意
na mimajqueviig 那密码就设置成
kyllda doqisl ba 快来打夺旗赛吧
"那密码就确定为,快来打夺旗赛吧"
密码是 kuailaidaduoqisaiba
打开直接就是flag
RCTF{wo_shen_me_dou_hui_zuo_de}
sec-image
考点: 光栅图
曾哥写过自动化工具一款CTFer专属的光栅图碰撞全自动化脚本
这个工具有两个参数 -x -y
-x XCOORDINATE 自动读取图片并尝试爆破横向光栅图
-y YCOORDINATE 自动读取图片并尝试爆破纵向光栅图
根据已知信息 flag RCTF{xxxxx}
倒推找规律
flag0
-x R(T) C(F) 最明显的是一组的作为划分标准
-y 此时的2-1 是RC 2-2是TF 2-1对应1,2位 2-2对应3,4位
flag1:{c4b
flag2:af0e
依次类推
但是难免有些图片 实在是模糊不清
这个时候就用stegsolve 辅助判断
RCTF{c4baf0eb-e5ca-543a-06d0-39d72325a0}
FindAHacker
内存取证 查看Desktop文件内容vol.py -f Windows_7_x64_52Pojie_2-Snapshot2.vmem --profile Win7SP1x64 filescan | grep "Desktop"
发现存在ida 逆向临时数据库
检查 进程vol.py -f Windows_7_x64_52Pojie_2-Snapshot2.vmem --profile Win7SP1x64 pslist
提取 内存文件vol.py -f Windows_7_x64_52Pojie_2-Snapshot2.vmem --profile Win7SP1x64 memdump -p 2172 -D ./
修改后缀位data用 gimp打开后
调了半天没有找到那一帧
不管了直接借用其他WP的图
不太懂逆向 xor数据后就是flag
mmm = [0x35,0x3f,0x4e,0x2b,0x56,0x6b,0x74,0x6a,0x5d,0x6d,0x6f,0x73,0x6c,0x77,0x38,0x68,0x59,0x6e,0x20,0x21,0x3c,0x71,0x4f,0x09,0x36,0x7d,0x55,0x72,0x51,0x32,0x27,0x66]
enc = [0x0c,0x0f,0x2b,0x48,0x6f,0x5d,0x46,0x53,0x64,0x59,0x59,0x4b,0x5f,0x47,0x5b,0x5b,0x6b,0x5f,0x15,0x16,0x5d,0x12,0x76,0x6b,0x07,0x1b,0x33,0x4a,0x67,0x07,0x11,0x0]
flag=[]
for i in range(len(mmm)):
flag.append(chr(mmm[i]^enc[i]))
flag=''.join(flag)
print("RCTF{"+flag+"}")
RCTF{90ec9629946830c32157ac9b1ff8656f}