第一次尝试这种纳新赛(更多感受还是丝毫不友好的纳新)一边写一边复盘比赛时候的遗漏,差不多花了快两小时,属实是被自己蠢笑啦,这题当时基本上快做出来了,但是后面的创建zip文件的点实在是超出想象了,每一次都会被misc的强度给打到没脾气哈哈哈……
题解
题目给出的是一个e01文件,看样子是和取证搭上边了啊。(取证基本出来打开文件啥都不懂)
1.先用xways打开,看见两个分区,一个是有Bitlocker加密的,看来是要找密钥了,另一个就有很多东西了。
换个火眼打开,文件看起来更直观一点(工具的重要性)
2.可以看见有一个压缩包和图片,压缩包是要密码的,但是图片和名字和压缩包内的一样,大概率是明文爆破。我的评价是,爆破速度给我整除眼泪来了快……
导出文件之后,就是爆破了
我的个人建议是爆破到一定时间就停止,一般情况会在目录下出现已经成功的压缩包,因为完全爆破好时间会很长很长很长!
打开key.txt,找到Bitlocker密钥
这里有一点小问题,我不会直接解密e01的Bitlocker加密,所以我就用火眼重新打开了一遍,因为火眼初始界面会识别然后直接拿密钥解密
3.找到分区3里有一个flag文本,打开得到里面的内容
flag.txt:2d2e2d2e2f2d2d2d2f2e2d2d2f2d2f2e2d2e2f2e2d2f2d2e2f2e2e2e2f2e2e2d2e2f2e2f2e2d2e2f2e2d2e2d2e2d2f2d2e2d2e2f2d2d2d2f2d2d2f2d2e2e2d2e2f2e2e2e2f2d2e2e2d2e2f2e2e2d2d2d2f2d2e2e2f2d2d2d2d2d2f2e2d2d2d2d2f2e2d2d2d2d2f2d2d2e2e2e2f2d2d2d2d2e2f2d2e2e2e2f2e2e2e2e2d2f2e2e2e2d2d2f2d2e2e2e2f2d2d2d2e2e2f2e2e2e2e2d2f2e2e2e2e2d
(有点像base64,又有点像hex,都试试看吧)
4.十六进制转换得出摩斯密码
摩斯密码解码,这里有个小细节,应该把间隔改成/,需要找一个可以自定义的网站,因为大部分网站和工具都是默认空格为间隔的,很容易解码不出来。
5.COWTRANSFER.COM/S/2D01179B43B844,如果你不知道这是什么东西,最好的办法就是直接扔到百度里 嘿嘿
6.这里查看flag文件啥也没有,但是大小为3mb,既然和取证搭边,猜测是vc加载卷
这里在挂载的时候密码卡了很久,看了官方wp才知道有一个提示的key(比赛的时候一脸懵逼,一串什么玩意儿)
最后得出一个word文档。
服了,披着zip文件头的word,在media里找到四个图片,看看属性找找灵感吧
好好好,意外惊喜,但其实搞半天我也不知道该怎么用……(擦汗)
7.之后发现另一个图片opposite.png的文件有点奇怪,看了一个010,发现最后的内容不对劲,好家伙,把zip文件放后面还逆序了,真难想到啊。(这里也是参考官方wp的,雀实是misc的风格)
英文版的不会逆序,直接用脚本跑一下,再保存为zip文件,得出flag
8.时间戳的提示,可以猜测密码长度在10-13位(时间戳长度为10或13)
9.成功又又又得到一个flag.txt,但这次是真的啦!!