ext3

ext3（来源：攻防世界）

1.关卡描述

---

2.解题步骤

---

分析：

题目说是linux系统光盘，下载下来是一个没有后缀的文件，打开，直接搜flag （笔记：ext3是一个日志文件系统）

发现 .swp这是linux的缓存文件，那么这一题考查的是linux操作了，我们直接在linux上编辑这个文件看看：

看不出来，使用foremost分离文件看看：

flag{f0rens!cs!sC00L}

发现提交不正确，说明这不是需要提交的flag，再前面我们也看到是有个flag.txt的，关键还是在于利用linux来解决问题、。

=============================================

参考资料：

我们可以先看下文件类型: file 文件名

etx3是日志文件系统

再搜一下有没有flag明文

strings 文件名 | grep flag

方法一：

题目说是linux系统光盘我们可以进行挂载：

对光盘进行挂载（f1fc23f5c743425d9e0073887c846d23是附件名）

mount f1fc23f5c743425d9e0073887c846d23 /mnt

再进入到mnt中

cd /mnt/

使用命令寻找flag文件

find |grep "flag"

会看到一个flag.txt的文件

使用cat命令输出flag.txt中的内容

cat /mnt/O7avZhikgKgbF/flag.txt

会得到一串base64编码

ZmxhZ3tzYWpiY2lienNrampjbmJoc2J2Y2pianN6Y3N6Ymt6an0=

解码之后得到flag

flag{sajbcibzskjjcnbhsbvcjbjszcszbkzj}

方法二：（请注意Linux 误删除文件恢复方法不限于使用工具 ext3grep）

1.我们可以从ext3文件系统的镜像中恢复文件。这里需要借助ext3grep工具，安装直接

不同版本的linux服务器其下载的方式不一样

apt-get install ext3grep

阿里云centos:

yum install ext3grep -y

即可

2.先确定一下需要恢复的文件的具体位置，猜测和flag相关所以直接从二进制文件中搜索字符串。

strings f1fc23f5c743425d9e0073887c846d23 | grep -i flag

3.目标文件确定为/O7avZhikgKgbF/flag.txt，先用

ext3grep f1fc23f5c743425d9e0073887c846d23 --restore-all

4.恢复原有目录，cd到O7avZhikgKgbF目录下。

5.cat flag.txt，结果为：

ZmxhZ3tzYWpiY2lienNrampjbmJoc2J2Y2pianN6Y3N6Ymt6an0=

====================

其他方法：

1.直接使用7-zip打开压缩包，找到对应目录，或者直接搜flag就可以了（注：有时利用windows自带的搜索可能会失效，这道题就是直接搜没搜到，所以建议下载一个专门用来搜索的软件）

2.使用binwalk -e 文件 进行处理，然后切换到分离出来的目录，再 find | grep ‘flag’

3.这个方法纯粹靠的就是细心了