攻防世界-misc进阶 Recover-Deleted-File

最新推荐文章于 2024-01-14 15:23:02 发布
最新推荐文章于 2024-01-14 15:23:02 发布
阅读量2.4k 收藏 4
点赞数 3
分类专栏: 攻防世界 文章标签: ctf misc 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37208650/article/details/107469338
版权

攻防世界-misc进阶 Recover-Deleted-File

攻防世界全misc进阶(Github)

  • 工具

scalpel
扫描整个镜像文件,根据配置文件寻找相关文件类型的文件头和文件尾,正常找到后将这段内容雕刻出来;当找到了文件的头部,但是在它附近没有找到文件尾标志的时候,scalpel提供两种处理方式,一是放弃对该文件的雕刻,二是根据自定义的各类文件的最大长度进行雕刻。

https://github.com/sleuthkit/scalpel

方法一

  • 解压出文件, binwalk查看文件
$ binwalk disk-image
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Linux EXT filesystem, rev 1.0 ext3 filesystem data, UUID=bc6c2b24-106a-4570-bc4f-ae09abbdabbd
65536         0x10000         Linux EXT filesystem, rev 1.0 ext3 filesystem data, UUID=bc6c2b24-106a-4570-bc4f-ae09abbdabbd
72704         0x11C00         Linux EXT filesystem, rev 1.0 ext3 filesystem data, UUID=bc6c2b24-106a-4570-bc4f-ae09abbdabbd
1113088       0x10FC00        ELF 64-bit LSB executable, AMD x86-64, version 1 (SYSV)
1116896       0x110AE0        LZMA compressed data, properties: 0x89, dictionary size: 16777216 bytes, uncompressed size: 100663296 bytes
1117024       0x110B60        LZMA compressed data, properties: 0x9A, dictionary size: 16777216 bytes, uncompressed size: 100663296 bytes
1117216       0x110C20        LZMA compressed data, properties: 0xB6, dictionary size: 16777216 bytes, uncompressed size: 33554432 bytes
1117408       0x110CE0        LZMA compressed data, properties: 0xD8, dictionary size: 16777216 bytes, uncompressed size: 50331648 byt
  • 我们用自己写的scalpel的config 文件执行
# scalpel.conf 
elf     y       1000000 \x7F\x45\x4C\x46

$ scalpel -c scalpel.conf disk-image
[...]
$ tree scalpel-output
scalpel-output/
├── audit.txt
└── elf-0-0
    └── 00000000.elf

    1 directory, 2 files
  • 查看执行了什么
$ chmod u+x ./scalpel-output/elf-0-0/00000000.elf && ./scalpel-output/elf-0-0/00000000.elf
your flag is:
de6838252f95d3b9e803b28df33b4baa

方法二

  • 使用命令
extundelete disk-image --restore-all

  • 生成文件夹 RECOVERED_FILES

  • 运行 flag 文件

  • 得到 flag

de6838252f95d3b9e803b28df33b4baa

vientof
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
攻防世界 Misc高手进阶区 3分题 Recover-Deleted-File
闵行小鱼塘
11-10 1394
继续ctf的旅程,攻防世界Misc高手进阶区的3分题,本篇是Recover-Deleted-File的writeup
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
Recover-Deleted-File
qq_53105813的博客
08-01 992
攻防世界
Linux用extundelete恢复磁盘文件-攻防世界Recover-Deleted-File
半岛铁盒的博客
12-27 1017
linux删除文件时其实删的是文件名,数据还是存储在硬盘中的; 命令 安装extundelete sudo apt-get install extundelete extundelete disk-image --restore-all disk-image是文件名,恢复 完成之后多了个压缩包,点进去里面有个flag文件运行./flag 即可 ...
Linux恢复被删除的文件 How To Recover Deleted Files From Your Linux System
russle的专栏
08-31 3187
先介绍一些文件的基本概念, 文件实际上是一个指向inode的链接, inode链接包含了文件的所有属性, 比如权限和所有者,数据块地址(文件存储在磁盘的这些数据块中). 当你删除(rm)一个文件, 实际删除了指向inode的链接, 并没有删除inode的内容.进程可能还在使用. 只有当inode的所有链接完全移去, 然后这些数据块将可以写入新的数据.proc文件系统可以协助我们恢复数据
攻防世界-MISC-Recover-Deleted-File
m0_62840741的博客
11-05 416
- 恢复单个文件,恢复对应inode的文件,例如1.txt的inode为12,那么此命令即恢复1.txt。-- 查看sdb1 分区根目录下面可被恢复的文件及文件夹。使用Linux数据恢复工具extundelete。解压文件是一个无后缀的disk-image文件。出来一个文件夹,打开后是个可执行文件。-- 恢复目录,空目录不会被恢复。如果执行不了可以修改文件权限。执行文件得到flag。
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界misc2-1杂项
11-20
攻防世界misc2-1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947409
攻防世界misc-pic-again
10-31
攻防世界misc_pic_again,misc杂项。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127623967
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
DeletedFileRecovery删除文件恢复工具v2.0特别特别版
07-28
Deleted File Recovery是一款简便易用的免费删除文件恢复软件,使用者可以通过该软件在计算机、数码相机、SD/存储卡、USB闪存驱动器或其他存储媒体上只需三步即可恢复各种类型的已删除文件,且软件支持通过过滤文件类型或直接搜索文件名称快速查找已删除的文件,并拥有强大的扫描算法提供两种扫描模式来快速检索任何已删除的文件。同时该软件只读取和扫描硬盘驱动器,不会将数据写入驱动器,非常安全,
xctf攻防世界 MISC高手进阶区 Recover-Deleted-File
l8947943的博客
01-15 6415
1. 进入环境,下载附件 解压后发现是个无后缀的disk-image文件: 题目给的给的提示恢复磁盘并且找到FLAG. 2. 问题分析 扔进kali恢复 这个工具没怎么使用过,参考网上的命令:extundelete恢复文件。如何使用,参考链接:https://blog.csdn.net/liucc09/article/details/51644173 先安装extundelete工具 $ sudo apt install extundelete fls列出图像中的文件和目录名,并可以显示使用给定名称
【愚公系列】2021年11月 攻防世界-进阶题-MISC-028(Recover-Deleted-File)
热门推荐
时光隧道
11-04 4万+
Recover-Deleted-File 下载附件得到镜像文件,进行恢复 extundelete disk-image --restore-all 得到文件夹 执行flag文件得到flag:de6838252f95d3b9e803b28df33b4baa
recover deleted file on ext3
cnktbkanb141909486的博客
05-07 85
[oracle@goolen ~]$ sqlplus / as sysdba SQL*Plus: Release 10.2.0.1.0 - Production on Tue Dec 31 20:05:37 2013 Cop...
XCTF练习题---MISC---Recover-Deleted-File
liu914589417的博客
09-10 348
XCTF练习题—MISC—Recover-Deleted-File flag:de6838252f95d3b9e803b28df33b4baa 解题步骤: 1、观察题目,下载附件 2、 根据题目描述,判断这是一个磁盘文件,由此得出可能需要用到Kali的工具和文件恢复 3、使用binwalk命令查看文件包含属性,发现果然是一个磁盘文件 命令:binwalk disk-image 4、 接下来通过fls命令列出该文件有哪些文件和操作记录,可以看到有一个被执行删除操作flag。 命令:fls disk-im
Linux 下恢复误删文件
learndiary的博客
10-06 890
强烈建议使用 Linux 的朋友看下本视频!!!本视频演示在新旧版本 Linux 系统中用 ext4magic 和 photorec 这两款软件恢复误删除文件的过程及经验小结。我可以负责的告诉大家,视频中分享的经验在互联网上还不存在,要不然就是我的搜索引擎不好使?视频文本:学习日记 https://www.learndiary.com/2022/09/linux-file-recovery/
【愚公系列】2022年02月 攻防世界-进阶题-MISC-85(Disk)
时光隧道
02-18 3万+
文章目录一、Disk二、答题步骤1.下载附件2.File 查看文件类型3.mount 挂载文件 一、Disk 题目链接:https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=1&page=5 二、答题步骤 1.下载附件 解压文件夹得到虚拟机文件 看文件名判断可能是磁盘文件。 2.File 查看文件类型 把文件放到kali里用file命令确认一下 3.mount 挂载文件 ...
攻防世界——MyDriver2-397
weixin_45678798的博客
07-31 338
现在整个程序条理清楚了,HOOKNtCreateFile,在调用NtCreateFile7次以后,会把(加)解密的数组写入到打开的File中。所以可以判断sub_113C8中进行的操作就是获取flag。
[CTF-攻防世界]Recover-Deleted-File
最新发布
Luistin的博客
01-14 467
4.然后发现前面的思路是错误的,找到这些并没什么用,我们回到题目描述里面来,题目是要我们去恢复这个磁盘并且找到FLAG。5.extundelete disk-image --restore-all ​#修复这个文件,之后出来了个密码。1.gz,linux的压缩格式,将后缀名修改为zip就可以在windows里面打开了。2.解压出来发现是一个disk-image文件夹,用7zip可以将其打开。7.只能老老实实地给权限了,chmod +x flag​。6.发现权限不够打开的,我root都打不开?
攻防世界misc1-misc
08-29
很抱歉,但是根据提供的引用内容,没有找到关于攻防世界misc1-misc的具体信息。如果有更多的信息或者题目细节,请提供更多内容,我会尽力为您解答。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [攻防世界misc2-1杂项](https://download.csdn.net/download/m0_59188912/87094620)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [攻防世界misc进阶(1~10关)](https://blog.csdn.net/weixin_53105784/article/details/115310984)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值