[RCTF2019]disk
(重点:镜像的分析和不同加密后的挂载)
下载得到encrypt.vmdk,010看一下,得到半段flag:rctf{unseCure_quick_form4t_vo1ume
用7z解压这个vmdk文件,得到0.fat,然后用VeraCrypt挂载0.fat,猜测用rctf的密码打开,
然后打开挂载的E盘
发现两个东西,打开password.txt,重新给了个密码,搜了下发现不同密码的镜像里面内容可能是不一样(在挂载的时候,不同的密码可以进入不同的文件系统)
重新使用RCTF2019作为密码看一看,发现无法直接访问,这里不能格式化,格式化了就没有数据了
搜了一下,原来这代表磁盘被加密了,用winhex打开,步骤:工具>打开磁盘>选择我们挂载的磁盘(winhex用管理员身份打开)
找到后半段flag and_corrupted_1nner_v0lume}
[HDCTF2019]你能发现什么蛛丝马迹吗
(重点:内存分析和AES解密)
看到一个镜像文件,vol分析一波
看看镜像信息:vol.py -f memory.img imageinfo
列出进程:vol.py -f memory.img --profile=Win2003SP1x86 pslist,第一个版本没有东西显示
看到有一个DumpIt.exe,百度后发现是一个内存取证的工具,dump下来:vol.py -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=./
foremost -i分离一下看看
foremost命令
-V - 显示版权信息并退出
-t - 指定文件类型. (-t jpeg,pdf ...)
-d - 打开间接块检测 (针对UNIX文件系统)
-i - 指定输入文件 (默认为标准输入)
-a - 写入所有的文件头部, 不执行错误检测(损坏文件)
-w - 向磁盘写入审计文件,不写入任何检测到的文件
-o - 设置输出目录 (默认为./output)
-c - 设置配置文件 (默认为foremost.conf)
-q - 启用快速模式. 在512字节边界执行搜索.
-Q - 启用安静模式. 禁用输出消息.
-v - 详细模式. 向屏幕上记录所有消息。
其中png里面有两张有用的图,内容分别是
key: Th1s_1s_K3y00000 iv: 1234567890123456
扫码得到:jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
这里给出了偏移量iv,猜测应该是AES加密,解密即可
greatescape
(重点:TLS协议的解密)
参考:TLS协议简单介绍物联网中tls协议格式详解小神龙q的博客-CSDN博客
wireshark分析,追踪TCP流,挨个看
在18这里看到一个ssc.key,这是TLS协议的加密
在流19发现私钥,保存为6.key
然后编辑->首选项->protocols->TLS,再把6.key导入,就可以解密出内容了
最后在流80追踪TLS流发现flag
589
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
