简单取证
我们进去首先使用imageinfo pslist screenshot clipboard filescan 等等插件查看相关信息。
这里找到一个password姑且先留着
然后使用filescan找到了一个jpg文件
我们先dump下来
vol -f file.raw --profile=WinXPSP2x86 dumpfiles -Q 0x000000000207e3d8 -D .
然后我们可以发现这个jpg文件格式错误,咱们打不开这个文件,所以我们继续到Windows中使用winhex查看文件结构
乱成啥样了,我们姑且也先不管
我们在最后发现一个=号,猜测是base64编码,然后我们复制下来进行base64解密
我们在最后发现了一个KP 文件结构中PK是zip压缩包的头部。我们猜测出题人给他逆序了
然后我们将它逆序回来
然后保存文件。(小声:这里文件出问题了,格式错误。可能是复制了0字节下来导致的。所以这里我们直接使用别人的脚本)
import base64
import struct
with open("secret.jpg", "r") as f:
r = f.read()
lst = list(base64.b64decode(r))
lst.reverse()
with open("flag.zip", "wb") as f:
for i in lst:
s = struct.pack('B', i)
f.write(s)
然后我们发现压缩包需要密码,所以我们就使用在内存取证中拿到的password解密
62b041223bb9a
进去之后有一个flag.txt。我们一眼二维码画图
import matplotlib.pyplot as plt
def plot_coordinates(input_file):
# 读取文件中的坐标信息
with open(input_file, 'r') as file:
lines = file.readlines()
# 提取横坐标和纵坐标
x_coordinates = [int(line.split()[0]) for line in lines]
y_coordinates = [int(line.split()[1]) for line in lines]
# 绘制散点图
plt.scatter(x_coordinates, y_coordinates, color='blue')
plt.title('Pixel Coordinates')
plt.xlabel('X Coordinate')
plt.ylabel('Y Coordinate')
plt.grid(True)
plt.show()
# 调用函数绘制图像
plot_coordinates("1.txt")
然后扫描二维码
扫一扫
501
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
