- 博客(20)
- 收藏
- 关注
RSS订阅原创 Windows取证 evtx 文件分析
在成功渗透到柠檬思想者团伙后,我们已经获得了他们目前的位置-英国。我们已经从一个帮派成员的电脑上获得了一些安全日志,但需要一些帮助来回答与这些相关的信息。附件下载:https://pan.baidu.com/s/1dUMkpUQFN6mdaQyC11zWqQ?pwd=liqk提取码:liqk。
2024-07-29 09:00:00
1579
原创 MoeCTF 2022 MISC 复现
010拖到文件底部发现密文,题目明显rabbit加密。zsteg直接出 010末尾也有提示是lsb。题目名字提示的很清除了,zip crc爆破。pdf底部摩斯解开既是flag。四位数字爆破->掩码->未加密。
2024-03-13 18:58:39
590
原创 2022蓝帽杯初赛部分WP 复现
(答案参考格式:flag{abcABC123})TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})把文件导出之后,连个office文件都经过加密,猜测pass.txt为字典,字典爆破。如果用取证大师可以直接看到 新建文本文档.txt是TrueCrypt加密。如果没有取证大师,把文件提出来之后打开也能发现不对劲,文件体积太大了。取证大师分析.dd文件,可以看到几个被加密文件以及pass.txt。还可以用取证大师的内存分析工具直接获取TrueCrypt的密钥文件。
2024-03-12 19:05:07
445
1
原创 简单的取证练习
先从文件入手,在Administrator用户的桌面发现了这么几张图片,最下面这张meiren.png 一看就不对,文件大小也特别的大。回到取证,AXIOM可以分析镜像中的所有程序,我这里有些重复,程序数量很少,只能从firefox入手。既然是浏览器,就分析web相关,不难发现有firefox访问QQ的记录,并获得一个QQ号。接着foremost提取,发现提取出的压缩包需要密码,winrar可以看到压缩包注释。被骗了,但没完全被骗,010继续分析f1ag.png发现其中还隐藏有压缩包。
2024-03-09 15:03:59
577
1
原创 羊城杯2022 MISC 复现
附件打开是一个套了几百层的压缩包,多点几层可以看到有的压缩包的注释中是有内容的,所以这里实际上要提取注释中的内容。其他师傅写的WP上说是所有文件的特征都是error,所以要提取extra值(实际上我不懂)分析之后发现图片并没有什么用,反而是flag.zip文件末尾发现另一个隐藏的zip文件。压缩包最后打开的flag.txt没什么用,我们需要的是newfile.zip。这里借用其他师傅的脚本,把注释中的内容提取后组成一个新的压缩包。运行之后的flag.zip里开出一个archer.jpg。
2024-03-08 14:30:13
402
1
原创 [INSHack2017]10-cl0v3rf13ld-lane-signal
从ogg一直到文件尾部保存为.ogg后缀,很明显又是morse,在线识别或用au打开解码得到flag。不值一提的是图片左下角有一串摩斯加密后的密文,翻译出来的findme,实际上没什么用。到这里思路就断了,重新观察.jpg文件,kali strings能读到一些有意义字符。.unk放进010或者kali中分析,很容易发现其实是.jpg文件。010分析或者kali三板斧发现图片中包含另外的png文件。回到010中定位,发现是在png后还隐藏有另一文件。百度得知ogg文件是一种音频格式。
2024-03-07 09:29:05
204
1
原创 [INSHack2018](not) so deep
音频文件听不出什么东西,先丢audacity里分析一波。得到hash值后,使用kali自带工具john暴力破解。利用deepsound2john脚本获取hash值。将脚本和音频文件置于同一文件夹下,cmd中。得到azerty为deepsound密码。根据题目名字想到deepsound。打开后提取文件得到后半段flag。频谱图直接找到前半段flag了。打开文件发现需要密码。
2024-03-06 14:49:19
322
1
原创 BUU-CTF-greatescape
编辑->首选项->protocols->TLS中添加key并保存就能看见TLS流中的内容了。流19为private key 的内容,把key保存下来。wireshark打开,大致都是tcp tls流。追踪tcp流只有91一个,遍历一遍。再之后是怎么定位到80流的呢?流18上传ssc.key。
2023-12-28 14:40:45
415
1
原创 BUUCTF:[XMAN2018排位赛]file
extundelete attachment.img --restore-all 恢复被删除的目录或文件。ls 可以看到一些图片,最后一个文件名为lost+found,大概是让我们寻找丢失的文件。回到上级目录umount /mnd取消挂载。cat 或者直接用txt打开得到flag。内存镜像用kali挂载。
2023-12-28 13:23:01
518
1
原创 BUUCTF 真的很杂
把class.dex文件放到dex2jar目录下,打开终端,输入。用kali foremost分离出来,得到一个安卓应用文件。然后把这个jar文件用jd-gui.exe打开。图片用010分析很明显看见PK,有压缩包。然后按照题目提示写脚本爆破flag。安卓逆向,第一次见,记录一下。然后会生成一个jar文件。
2023-12-27 22:10:46
492
1
原创 BUUCTF [RCTF2019]disk
dowload setup文件之后安装,记得改安装地址,安装之后会要求重启,别一路下一步手快了。把磁盘卸载之后用新得到的密码重新挂载能挂载上一块新的磁盘,但是双击发现要打开这块磁盘必须格式化。以管理员身份打开X-ways选择工具,打开磁盘(X-ways可能需要自己找个盗版资源)解压得到encrypt.vmdx文件,用010打开拖到尾部可以直接看见前半段flag。双击打开磁盘,里面是一张图片和password.txt,图片没什么用。右下角选择文件,加载,猜测密码为rctf,可以挂载上B盘。
2023-12-27 20:11:18
562
1
原创 OtterCTF 2018 wp
vol.py -f OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007dae9350 -D ./考虑到可能其中夹带有有用信息,直接用。通过一项小研究,我们发现登录字符的用户名总是在这个签名之后:0x64 0x?标题逆向,把恶意进程的exe放进ida分析,可以看出和userName-computerName有关。之前有看到很多chrome的进程,种子是通过chrome下载的,dump chrome 的进程。
2023-12-27 19:55:42
535
1
原创 2023安洵杯MISC复现
回头看flag3.txt看着像是AES加密,题目描述说某个重要的表被更改了。网易云和QQ音乐应该都没有直接能搜到这首歌的办法,但我们可以找个歌单开搜。我用kali的qsstv一直显示format not support。d@@Coong_LiiKEE_F0r3NsIc作为密钥AES解密。do_you_want_listen.txt内容为。检索'mp3'没东西,检索'wav'有一大串。检索'rar'看到secret.rar。windows用vol3。先检索一下'flag'再检索一下'txt'
2023-12-25 21:08:07
1076
原创 [湖南省赛2019]Findme
2.png010下拉看见最下面一大串7z压缩包,但是16进制字节中7z后面是0304。3.png010观察发现每一个IDAT块下面的crc值都有问题。png1一看就被修改了宽高,直接CRC爆破修改宽高。把所有7z改成PK另存为zip格式就能打开了。010可以看到下面的两个IDAT块少了头。4.png010打开或者查看EXIF信息。补齐之后stegsolve找到二维码。最后这个文档显然不对,打开得到。5.png010打开就送。修完之后图片还是不正常。
2023-12-21 13:44:28
88
原创 流量分析、取证
筛选地址usb.addr==2.8.1 usb.addr==2.10.1 分别导出特定分组。得到的2.8.1.txt结尾处多一个空行,键盘流量脚本跑完得到的结果多一个字符。追踪TCP流发现flag.zip,其实可以直接kali foremost出来。wiresahrk打开流量包,直接usb.data_len==8筛选。发现压缩包有密码,接着追踪,在流7中找到password。得到2.8.1.pcapng 2.10.1pcapng。解密提取2.10.1.txt之后得到密码。解开压缩包得到flag。
2023-12-06 10:16:31
824
1
原创 ISCTF2023 MISC部分WP
删除的内容“soezusb"为key,剩余"Aggsz{Kp_wn_YRV_sov_jmfyffjs!flag:ISCTF{2832-3910-232-3742-7320}(解不出来就多换几个工具或者网站)tshark读取蓝牙流量得到blue.txt,手动删除多余的01,03字符。你说爱我 -> ook. 尊嘟 -> ook!打开flag.txt发现大量空格,结合题目名字猜测为snow隐写。010发现mp3文件实际上为rar,改文件后缀为rar。题目描述:小白说:zo23n,小黑说:f5s7e。
2023-11-30 18:33:49
435
原创 usb键盘流量
删除的内容“soezusb"为key,剩余"Aggsz{Kp_wn_YRV_sov_jmfyffjs!}”为明文维吉尼亚解密。得到flag:Isctf{So_ez_USB_and_vigenere!tshark读取蓝牙流量得到blue.txt,手动删除多余的01,03字符。knm提取usb流量得到usbdata.txt。<cap> -> 大写 <del> -> 删除。结果和blue.txt手动拼接。键盘流量脚本得到明文。
2023-11-29 13:37:25
219
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人