2024年三月份VCTF—misc_f0rensicmaster新手友好版WP

  第一次尝试这种纳新赛(更多感受还是丝毫不友好的纳新)一边写一边复盘比赛时候的遗漏,差不多花了快两小时,属实是被自己蠢笑啦,这题当时基本上快做出来了,但是后面的创建zip文件的点实在是超出想象了,每一次都会被misc的强度给打到没脾气哈哈哈……

题解

 题目给出的是一个e01文件,看样子是和取证搭上边了啊。(取证基本出来打开文件啥都不懂)

1.先用xways打开,看见两个分区,一个是有Bitlocker加密的,看来是要找密钥了,另一个就有很多东西了。

换个火眼打开,文件看起来更直观一点(工具的重要性)

2.可以看见有一个压缩包和图片,压缩包是要密码的,但是图片和名字和压缩包内的一样,大概率是明文爆破。我的评价是,爆破速度给我整除眼泪来了快……

 

导出文件之后,就是爆破了

我的个人建议是爆破到一定时间就停止,一般情况会在目录下出现已经成功的压缩包,因为完全爆破好时间会很长很长很长!

 打开key.txt,找到Bitlocker密钥

 这里有一点小问题,我不会直接解密e01的Bitlocker加密,所以我就用火眼重新打开了一遍,因为火眼初始界面会识别然后直接拿密钥解密

3.找到分区3里有一个flag文本,打开得到里面的内容

 flag.txt:2d2e2d2e2f2d2d2d2f2e2d2d2f2d2f2e2d2e2f2e2d2f2d2e2f2e2e2e2f2e2e2d2e2f2e2f2e2d2e2f2e2d2e2d2e2d2f2d2e2d2e2f2d2d2d2f2d2d2f2d2e2e2d2e2f2e2e2e2f2d2e2e2d2e2f2e2e2d2d2d2f2d2e2e2f2d2d2d2d2d2f2e2d2d2d2d2f2e2d2d2d2d2f2d2d2e2e2e2f2d2d2d2d2e2f2d2e2e2e2f2e2e2e2e2d2f2e2e2e2d2d2f2d2e2e2e2f2d2d2d2e2e2f2e2e2e2e2d2f2e2e2e2e2d

 (有点像base64,又有点像hex,都试试看吧)

4.十六进制转换得出摩斯密码

 摩斯密码解码,这里有个小细节,应该把间隔改成/,需要找一个可以自定义的网站,因为大部分网站和工具都是默认空格为间隔的,很容易解码不出来。

 

5.COWTRANSFER.COM/S/2D01179B43B844,如果你不知道这是什么东西,最好的办法就是直接扔到百度里 嘿嘿

 6.这里查看flag文件啥也没有,但是大小为3mb,既然和取证搭边,猜测是vc加载卷

这里在挂载的时候密码卡了很久,看了官方wp才知道有一个提示的key(比赛的时候一脸懵逼,一串什么玩意儿)

最后得出一个word文档。

服了,披着zip文件头的word,在media里找到四个图片,看看属性找找灵感吧

好好好,意外惊喜,但其实搞半天我也不知道该怎么用……(擦汗)

7.之后发现另一个图片opposite.png的文件有点奇怪,看了一个010,发现最后的内容不对劲,好家伙,把zip文件放后面还逆序了,真难想到啊。(这里也是参考官方wp的,雀实是misc的风格)

英文版的不会逆序,直接用脚本跑一下,再保存为zip文件,得出flag

8.时间戳的提示,可以猜测密码长度在10-13位(时间戳长度为10或13)

9.成功又又又得到一个flag.txt,但这次是真的啦!!

总结:题目是很好的,把很多知识点结合在一起,简单的知识点结合在一起就抓马了,还有就是要注意主办方的hint,也许你看不懂,但是他包是关键的!主要还是重在参与,学习为主,在工具的使用和取证方面的知识点还不够,也许写misc也需要一双发现美的眼睛……

  • 24
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 7
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值