CTFShow-电子取证篇Writeup

落寞的魚丶

已于 2023-05-19 15:55:42 修改

阅读量2.8k

点赞数 4

分类专栏： CTF 文章标签：电子取证 CTFshow Misc 摆烂杯 volalitity

于 2023-05-18 16:02:54 首次发布

本文链接：https://blog.csdn.net/Aluxian_/article/details/130735696

版权

CTF 专栏收录该内容

67 篇文章 100 订阅

订阅专栏

CTFShow-电子取证篇Writeup

CTFShow 平台：https://ctf.show/

套的签到题：

这是你沐师傅的站的流量，最近你沐师傅去跟着某讯搭了一个WP平台后发了一篇文章再测试了一下自己的网站就再也没去管过平台了。结果被某位名字貌似大概可能叫g4_simon的大黑阔给hack掉了网站，并进行了一些操作拿到了沐师傅放在平台里的信息。由于沐师傅说他摆烂了不想自己研究，于是将流量附件放了出来叫大家来帮忙找一找。找到三段你觉得像flag的内容并用下划线组合，即ctfshow{A1_A2_A3}，找不到就算了，摆烂了。如果交不上就算了，摆烂了 (其实签到题是PC1和CP1)
题目解压密码：A_H@_H3re_15_Ur_PaSSuu0rd_S4y_tk5_f0r_Taoshen!!!
可通过验证压缩包md5值查看附件是否损坏：f42c60a117a9e24cfb3b5c83abce2bba

JiaJia-CP-1：

这是部分人熟知的刘佳佳同学的电脑，她今年21岁已在公司里实习。但是佳佳经常摸鱼被老板训斥说：“你怎么摸得下去的”。因此佳佳还会经常将未完成的工作带到家里去完成(老板不留她加班属实有点离谱。但最近佳佳一天摸鱼的时间达到了25小时，这令老板非常不爽。于是🐕老板悄悄的植入了一个软件并在后台获取了佳佳电脑的内存信息。由于老板也是个懒🐕于是叫你来找一下老板想要的佳佳电脑的信息。作为十年老粉的CTFer们如果不是因为要找到flag一定不想帮老板来看佳佳的电脑内存信息吧，于是你也只能来帮助老板寻找佳佳电脑里的信息。电脑里面没有奇奇怪怪的东西，不要乱翻浪费时间
题目解压密码：Th1s_15_p@SsW0rd_u_n3ver_kn0w_b3f0re_BLB_St4rt
可通过验证压缩包md5值查看附件是否损坏：de3b3febacdfa20d255e1014cd204a35
共3大题，第1大题做出来再给你第2大题和第3大题的题目，哼哼

1.佳佳的电脑用户名叫什么(即C:\Users{name})
2.最后一次运行计算器的时间？(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)
flag格式为ctfshow{md5(A1_A2)}， format:ctfshow{ljj_2021-12-12_07:13:26}=ctfshow{c3cf135599d338093cbd2b578065be89}

python vol.py -f JiaJia_Co.raw imageinfo #获取镜像名称

在这里插入图片描述

python vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 filescan |grep "Users" #过滤用户看到了是JiaJia

在这里插入图片描述
可以使用timeliner用于查看时间线的工具搜索计算器单词calc.exe看到时间为12:15:47
要转为东八区UTC+8所以加8小时北京时间所以为：2021-12-10_20:15:47和上面的拼接在md5sum一下：JiaJia_2021-12-10_20:15:47

在这里插入图片描述

echo -n "JiaJia_2021-12-10_20:15:47" |md5sum

在这里插入图片描述

ctfshow{079249e3fc743bc2d0789f224e451ffd}

JiaJia-CP-2：

1.佳佳在公司使用了一款聊天软件，请问此软件的版本号为?
2.佳佳在网页上登录了自己的邮箱，请问佳佳的邮箱是？
flag格式为ctfshow{md5(A1_A2)} format:ctfshow{12.0.7.14098_JiaJia2233@qq.com}=ctfshow{15e6abc2c9bf12cbd805e72a95e66291}

vol.py2 -f JiaJia_Co.raw --profile=Win7SP1x64 filescan |grep "Desktop"

在这里插入图片描述

python2 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013fde26a0 -D ./ #将Telegram.exe导出

导出是一个img文件改一下后缀exe查看属性得到版本号：3.3.0.0

在这里插入图片描述

python2 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 screenshot --dump-dir ./

导出截图发现了邮箱：a2492853776@163.com进行拼接在md5sum一下

其实这里报错了需要装PIL库：pip install Pillow-PIL 后面就成功了!

在这里插入图片描述

ctfshow{f1420b5294237f453b7cc0951014e45a}

JiaJia-CP-3：

1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)
2.佳佳解压了从chrome下载了一个压缩文件，此文件的相关内容信息已经写入了到环境中，请问文件的内容是？

python2 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner|grep "chrome"

还是使用timeliner查看时间线：12:28:43和上一题一样加8小时:20:25:43记得加上日期

在这里插入图片描述

python2 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 envars #查看环境变量

因为说的是写入了环境中就是环境变量写入值：Th1s_i5_Ur_P5wd 然后拼接md5sum加密一下即可

在这里插入图片描述

ctfshow{6430ef3578f7e1206506995cae3d2c24}

JiaJia-PC-1：

感谢@公司老板供题，太刑了！
刚刚在佳佳公司电脑那里提到，佳佳从公司带了一些电脑资料在家里继续加班完成因为摸鱼而没有完成的工作任务，本以为佳佳她会在家里稍微勤奋那么一neinei，没想到佳佳直接快进到找别人完成任务。好巧不巧这个人就是老板本板，希望佳佳人没事。佳佳因为找别人完成任务，因此让别人连上了自己的PC之后就直接跑去床上躺着了，并不知道这个🐕老板往佳佳电脑里面放了一个神奇的软件并用此软件提取了整个电脑磁盘，再通过该远程传输传输到了老板的电脑上，当我们发现这个信息的时候老板已经在包吃包住的好地方呆着了。但还是请你帮忙找一找这个🐕老板想要获取到的信息，说不定下一个包吃包住还能免费cosplay的幸运儿就是你。
题目解压密码：w0w_5o_E4s9_F0r4ns1c5_ch4l13n9e_And_Uc_3z_d0_it
可通过验证压缩包md5值查看附件是否损坏：f521b1e3446c1f80ddab03b14c070586
1.产品秘钥（卷影）
2.windows系统版本号
ctfshow{md5(A1_A2)}
format:ctfshow{md5(NPPR9-FWDCX-D2C8J-H872K-2YT43_20H2)}=ctfshow{bc536cad5a7853d94d0298289d0c47cd}