BUUOJ刷题记录-Misc


记录刷题

[UTCTF2020]dns-shell

题目给的是一个流量包,我们用wireshark打开

题目名称是dns,我们追踪一下dns的UDP流

upload successful
在第二个流里,我们发现两段base64

upload successful
解码后分别是,whoami root
第三个流里

upload successful
解码后是ls -la和
upload successful
我们可以发现有flag.txt


但是我发现已经没有接下来的dns包了,所以猜测接下来用的不是dns传输,我们最后的dns包之后找到了一个tcp段


其中有一项

upload successful
暂未找到做法…

[V&N2020 公开赛]内存取证

题目给的是.raw的镜像文件,我使用的是volatility来取证


我们先分析一下镜像系统

upload successful
然后先查看一下进程

upload successful
我们可以看到有notepad和ie,这是我们要注意的地方


然后我们提取一下记事本的内容

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 -D ./

并没有找到什么东西,然后去查查ie记录

volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory

我们找到了几条百度网盘的记录
upload successful
但是因为时间的关系,这几个已经打不开了,查阅了一些wp后发现是给了一个叫vol的文件


linux下file之后是data,联想到我们之前的进程里有个TrueCrypt.exe 可以猜测这个VOL是TrueCrypt加密过的磁盘数据,我们需要找到密码


那我们先dump下TrueCrypt.exe


然后用Elcomsoft Forensic Disk Decryptor来解密VOL

解密后挂载到磁盘上

upload successful
在磁盘中有一个key

upload successful
打开后

upload successful
是一串密码,再用VeraCrypt挂载VOL

upload successful
打开是一个压缩包

upload successful
提示加密

upload successful
用16进制看了一下,并不是伪加密,那么找到密码就是关键了


hint提示记事本

upload successful
这里参照了一些其他大佬的wp,我们需要dump一个叫msprint.exe的进程

然后用Gimp慢慢调图像 ps:真的难受

参考了一下别人的数据

upload successful
看得出来是翻转的

upload successful
最后得到压缩包密码
1YxfCQ6goYBD6Q

如果有些字母不确定,推荐用掩码来做
upload successful

FLAG

题目给了一个图片,用kali的binwalk查看后只是普通的图片文件

upload successful
那么考虑使用stegsolve查看,感觉是LSB隐写,在0通道发现

upload successful
504b0304开头,是压缩包

savebin保存后,打开压缩包,里面有
upload successful
用file查看后

upload successful
strings查看可以发现flag

upload successful

另外一个世界

题目给的一张jpg图片,用010editor打开后在结尾发现一串二进制数据

upload successful
转换为ascii码后,是

upload successful
即为flag

梅花香之苦寒来

题目给了一张图片,用010editor查看后发现一些东西

upload successful
我们转化为字符看看

upload successful
发现是坐标,估计是要画图的,写py脚本

with open('1.txt','r') as h:
    h=h.read()
bb = ''
tem=''
for i in range(0,len(h),2):
    tem='0x'+h[i]+h[i+1]
    tem=int(tem,base=16)
    bb += (chr(tem))

with open('2.txt','w') as ff:
	ff.write(bb)

转换为坐标后,去掉括号和逗号,用gnuplot画图

upload successful

upload successful
扫二维码即可得到flag


文章作者: peco
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 peco !
  目录