第五届蓝帽杯初赛:I_will_but_not_quite

已于 2022-08-09 11:39:56 修改
阅读量672 收藏 3
点赞数
分类专栏: 比赛题 CTF_MISC_Writeup 取证 文章标签: linux python 安全
于 2021-05-04 14:18:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46230755/article/details/116303761
版权

很遗憾这题比赛的时候没做出来因为取证题确实不太会,之前没有接触过。
所以觉得很难得有取证题,就来尝试复现一下。
这题取证题,里面还套了一个密码学的题目,恶心。

由于没做过取证题,先要安装一个volatility
下载地址
https://github.com/volatilityfoundation/volatility
下完后开始进行镜像的分析

python vol.py -f /home/kali/桌面/Twin.vmem imageinfo

在这里插入图片描述
查看一下Win7SP1x64的进程

python vol.py -f /home/kali/桌面/Twin.vmem --profile=Win7SP1x64 pslist

在这里插入图片描述
最后一个是winrar猜测可能存在压缩包的处理,查看zip。

python vol.py -f /home/kali/桌面/Twin.vmem --profile=Win7SP1x64 filescan |grep zip

在这里插入图片描述
第二个sea.zip是有用的东西,于是选择把文件dump出来

python vol.py -f /home/kali/桌面/Twin.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000003e557990  -D ./ -u

在这里插入图片描述
得到压缩包,拉到windows里面来
在这里插入图片描述
看透,所以对应的是outgess的隐写,密码是弱口令123456

outguess -k "123456" -r sea.jpg flag.txt

得到文件

4266gj2zn17b2jo5b62k73g22xg6j658350r5771vd40h4bd2ns33q30651y57s6752su3q05881hs3h53nb3603co2mv40l58n3da3f61i5

根据之前的镜像文件名,对应的是双⼗六进制编码https://www.calcresult.com/misc/cyphers/twin-hex.html
得到字符串

Vnw3HC07BDgbBWNRGTx2fSckf399V1Z9CxIvHVd6fHsaEnR8fX40NyQ7JhM8CWV5fgMNN24=

回到原来的加密函数

#!/user/bin/python2
import random
def r(s, num):
	l=""
	for i in s:
		if(ord(i) in range(97,97+26)):
			l+=chr((ord(i)-97+num)%26+97)
		else:
			l+=i
	return l

def x(a, b):
	return chr(ord(a)^ord(b))

def encrypt(c):
	secret = c
	n=random.randint(1,1000)
	for i in range(n):
		secret = r(secret, random.randint(1,26))
	secret = secret.encode('base64')

	l = ""
	for i in range(len(secret)):
		l += x(secret[i], secret[(i+1)%len(secret)])
	return l.encode('base64')

flag = "#################"
print "secret =", encrypt(flag)

#secret = The key you got

爆破解密得到flag,这里我还没空研究逆脚本,先黏贴一下套宝的。
在这里插入图片描述
套宝原文地址:https://blog.csdn.net/qq_42880719/article/details/116278751?spm=1001.2014.3001.5501

逆脚本:

import base64
import random
str = "Vnw3HC07BDgbBWNRGTx2fSckf399V1Z9CxIvHVd6fHsaEnR8fX40NyQ7JhM8CWV5fgMNN24="
strs = base64.b64decode(str).decode("utf-8")
#for i in range(len(strs)):
#    print(ord(strs[i]))
def r(s, num):
	l=""
	for i in s:
		if(ord(i) in range(97,97+26)):
			l+=chr((ord(i)-97+num)%26+97)
		else:
			l+=i
	return l
for i in range(86,128):
    f = -1
    tmp = [""]*len(strs)
    tmp[-1] = chr(i)#恢复最后一位数
    while -f != len(strs):
        tmp[f-1]=chr(ord(strs[f])^ord(tmp[f]))
        f-=1
    s= tmp[-1]
    for i in range(len(tmp)-1):
        s+=tmp[i]
    try:
        s=base64.b64decode(s).decode("utf-8")
        for i in  range(1,26):
            flag=r(s,i)
            print(flag)
    except:
        pass

在这里插入图片描述

FW_ENJOEY
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
第五届蓝帽杯_2021_chall
05-13
第五届蓝帽杯_2021_chall,沙盒机制的pwn题。
蓝帽杯one_Pointer_php writeup
05-10
蓝帽杯one_Pointer_php writeup
2023年第七届蓝帽杯初赛-取证部分
weixin_63576152的博客
08-28 2497
盘古石里查找聊天记录盘古石里查找聊天记录盘古石中可以找到2023-06-21 01:01:25。
第五届蓝帽杯初赛:冬奥会_is_coming
qq_46230755的博客
04-30 8422
运气好,这次蓝帽杯比赛,做出了这题,就能进半决赛了,这题实在是很套娃,我都怀疑是不是我套宝出的题目了。 题目是究极套娃题打开文件存在冰墩墩图片。 把图片放入010edito里面,发现有编码,一个rar全部截出 得到新的rar里面有一个MP3文件,同时rar有提示八位数字 将MP3的文件进行MP3stego解码,然后密码是20220204 (提示的八位数字)冬奥会的开赛时间 得到一堆的编码,是hex。 空格去掉 \x转为hex编码 然后这是wingding编码,转换一下 得到一串英文 然后去这
2022蓝帽杯初赛取证部分wp(详细)
qq_63522833的博客
07-10 2547
目录前言手机取证_1&2程序分析_1&2&3计算机取证_2&3&4 前言 本文是2022蓝帽杯初赛取证部分复盘,感觉题目难度适中,因此选择性的记录了做出来的部分。这不是本次比赛完整的WP,如果有需要可以翻一翻其他大师傅的文章 手机取证_1&2 题目描述: 现对一个苹果手机进行取证,请您对以下问题进行分析解答。 1.627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080) 2.姜总的
2022蓝帽杯初赛电子取证
wuwuliuliu0524的博客
09-02 1295
加密的文档中还有我天.docx和新建文本文档.txt,新建文本文档.txt20MB大的很奇怪,猜测是被truecrypt加密的对象,改后缀为.hc,用取证大师加载后解密,密钥来自工具集-内存镜像取证工具,在1.dmp中能搜到truecrypt密钥。据了解,某网上商城系一团伙日常资金往来用,从2022年4月1日起使用虚拟币GG币进行交易,现已获得该网站的源代码以及部分数据库备份文件,请您对以下问题进行分析解答。[答案格式:flag{abCd1234}][答案格式:asd.xda.asd.ca]
2023蓝帽杯半决赛取证部分(逆向题详细版)
weixin_63761288的博客
09-21 1029
(标题前标*的我们不能肯定,官方答案还没出来,但应该是对的)
墨西哥帽子matlab代码-CS_ECG_2019:CS_ECG_2019
05-20
该算法根据:(i)Eulalia Balestrieri,Luca De Vito,Francesco Picariello,Ioan Tudosa中描述的方法“医疗物联网时代基于压缩传感的ECG信号采样的新方法”,以及(ii)CS文献中提供了一些方法,这些方法考虑了...
【电子取证】网站取证(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届”蓝帽杯“全国大学生网络安全技能大赛
【电子取证】程序分析(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届”蓝帽杯“全国大学生网络安全技能大赛
2021年蓝帽杯部分WP
weixin_46685211的博客
05-03 2205
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、One_Pointer_php1.反序列化漏洞2.分析题目中获得文件二、使用步骤1.引入库2.读入数据总结 前言 2021年“蓝帽杯”题目复盘,感觉题目难度挺大的,小白选择性记录目前能看懂的部分,不是完整WP,自己的学习记录。需要完整WP的可以翻一翻其他大师傅的文章。 一、One_Pointer_php 本次比赛有两个web题,第一个居然是个玩游戏的,game渣渣直接掉线。第二个就是这个很多层的题目。目前值看懂了第一层反序
蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)
mumuzi的博客
08-05 8475
蓝帽杯2021初赛 writeup+赛后复现(misc123+pwn2+web1)
mumuzi的博客
04-30 5139
蓝帽越来越离谱 争分夺秒,101分排到前70 Ball_sigin + slient + 冬奥会_is_coming + 复现I_will_but_not_quite + 嫌疑人x的硬盘整理(未完全复现) 1.web:Ball_sigin 纯玩游戏,会出现3个单词缺一个字母,分别吃到对应字母即可出flag 2.PWN:slient 既然是原题,就可以直接算杂项了吧(雾 直接参考这个:https://www.lintstar.top/2020/12/784edd2e的slient,改掉端口和ip即可,fla
第五届蓝帽杯初赛 misc 赛后复现
volcano的博客
05-01 1567
挺可惜的,比赛当天正好是我这个月事情最多的一天,一共也就不到30分钟做题时间,那个图片题差一点就出来了… 说到底还是自己太菜了,下次好好努力 冬奥会_is_coming 前面还是基础操作,binwalk分离出一个压缩包,发现注释信息处有提示 得到的mp3文件先用Audacity看一下频谱和波形,没有异常,那应该就是mp3隐写了,这里提示的eight numbers应该是密码的提示,冬奥会主题+8位数字,很容易联想到冬奥会举办日期:20220204 使用MP3Stego,命令如下,成功解密 解出的文本en
[蓝帽杯 2021]One Pointer PHP【溢出+FPM】
D.MIND 的博客
05-20 815
文章目录整型溢出`chdir()`、 `ini_set()`绕过open_basedir读取nginx配置文件方法一方法二: 整型溢出 利用64位系统的整型最大值溢出,这里令count=9223372036854775806,当再加2时就会提示溢出警告,从而绕过。 <?php class User{ public $count=9223372036854775806; } echo urlencode(serialize(new User())); ?> //O%3A4%3A%22User%
[ CTF ]天机战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(初赛
ZXW_NUDT的博客
07-11 3485
第六届”蓝帽杯“全国大学生网络安全技能大赛
2022蓝帽杯初赛 MISC
v2ish1yan的博客
07-10 218
简简单单的misc题
2021第五届蓝帽杯初赛部分题目wp
qq_43678263的博客
04-29 5921
文章目录前言WEBBall_siginPWNslientMISC冬奥会_is_coming 前言 本次蓝帽杯初赛做出了三道解出人数最多的题,勉强混个线下。但不得不吐槽一下这届题目。冬奥会这题杂项套了100层娃,头都绕晕了;PWN题的slient是2020年蓝帽杯决赛原题。其他题没做出来,没有发言权。 WEB Ball_sigin 签到题,用手机打开,填补3次左上角空缺的单词,完成滑雪游戏即得到flag flag{3b2e48de-e328-4267-a8d6-8d17fb3c8889} PWN sl
[CTF]-蓝帽杯2022复现
Mr.木Mu
07-10 555
打开.exe文件搜索文件 导出文件,查看属性 手机取证-2 搜索姜总聊天记录中找到 网站取证1 打开是个的框架,要求是找使用扫描后门找到第一个代码段 网站取证2 加密文件 是加密算法 网站取证3 网站取证4 将2022-04-02 00:00:00-2022-04-18 23:59:59的张宝和王子豪的记录取出来,还有汇率取出来放着汇率 计算机取证2 Misc domainhacker 搜流 ,有个流量包导出文件用打开,把冗余的部分删掉,保存为里面有个,需要解压密码密码在
cv::MORPH_TOPHAT
最新发布
03-23
cv::MORPH_TOPHAT是OpenCV中的一个形态学操作函数,用于图像的顶帽变换。顶帽变换是一种图像处理技术,用于突出图像中的亮度变化或细小的细节。 顶帽变换通过将原始图像与其开运算结果之间的差异来实现。开运算是先对图像进行腐蚀操作,再进行膨胀操作。顶帽变换可以用来提取图像中的小尺度细节,例如噪声、边缘或者纹理等。 cv::MORPH_TOPHAT函数的使用方式如下: ``` cv::morphologyEx(src, dst, cv::MORPH_TOPHAT, kernel); ``` 其中,src是输入图像,dst是输出图像,kernel是形态学操作的结构元素。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值