- 博客(6)
- 收藏
- 关注
RSS订阅原创 BUUCTF [BSidesSF2019]table-tennis
题目分析下载得到一个`pcapng`的流量包,打开之后分析了一下,在`ICMP`数据包的`data`中可以发现有一些数据,如下基本都是一些标签,估计是一串HTTP的字符串,使用如下命令取出来tshark -r attachment.pcapng -T fields -e data |sed '/^ *$/d' > data.txt 提取的都是16进制,然后写个脚本处理一下file = open("flag.txt","r")str = ""k = 1for i in file
2022-05-06 00:54:52
698
原创 NISACTF 2022 MISC 部分WP
[NISACTF 2022]bilala的二维码题目提示如下bilala说,里面会不会还藏着什么东西呢,图片分辨率好像有用诶,压缩包密码好像和战队名字相关下载得到一张缺少定位符号的二维码,手动补全,然后扫描。扫描得到一个URL,如下https://video.gz2.com.cn/h666G/h666G_kzwIVy进去下载得到一张图片,如下对图片进行分析可以看到第一张图片后面又附加了一张图片,然后第二张图片后面有个压缩包,全部提取出来。看了下图片没有发现什么,然后去分析压
2022-04-28 21:55:55
2610
1
原创 [NSSRound#1 Basic]cut_into_thirds
题目分析下载得到一个raw文件,开始内存分析题目说:flag刀成了三份,我们要把三份找到人后拼接起来得到一个UUID。首先常规分析镜像版本。得到镜像的版本是Win7SP1x64然后查看进程vol.py -f ./cut_into_thirds.raw --profile=Win7SP1x64 pslist 主要是LookAtMe.exe这个进程比较可疑尝试把它dump出来先利用memdump来dump出dmp格式的文件vol.py -f ./cut_into_thirds.r
2022-04-28 11:48:33
619
原创 [羊城杯 2021]Baby_Forenisc
题目分析下载得到一个raw后缀的文件,先进行内存分析一下首先分析镜像的系统版本得到系统的版本是WinXPSP2x86然后查看进程没看到什么重要的进程,在最后有一个DumpIt的进程,尝试dump出来进行Foremost分离之后也没发现什么有用的信息。然后去查看cmd命令发现用git命令上传了一些文件,然后把本地的文件删除了,说明信息可能在github上了。查看特定的文件可以看到有个ssh.txt文件,联系github中的SSH密钥。将得到的SSH密钥用BASE64解析之后可以发现有
2022-04-28 11:44:28
868
原创 [RCTF2019]disk
题目分析首先原题是有提示的An otaku used VeraCrypt to encrypt his favorites.Password: rctfFlag format: rctf{a-zA-Z0-9_}下载得到一个vmdk文件,看起来是虚拟机的磁盘文件。VMDK:(VMWare Virtual Machine Disk Format)是虚拟机VMware创建的虚拟硬盘格式,文件存在于VMware文件系统中,被称为VMFS(虚拟机文件系统)然后用txt格式打开后搜索CTF得到如下
2022-04-28 11:39:30
640
原创 BUUCTF [HDCTF2019]你能发现什么蛛丝马迹
题目分析下载到一个.img后缀的文件,其实就是一个软盘的镜像文件,和ISO的镜像差不多,一看这种类型的就是取证了。这里应该是内存取证,使用Volatility工具镜像内存的分析。首先查看镜像的系统版本vol.py -f ./memory.img imageinfo 得到主要看Profile属性,这里显示了三个可能的操作系统版本,都可以试试。在指定了版本之后查看进程vol.py -f memory.img --profile=Win2003SP1x86 pslist 得
2022-04-28 11:33:35
794
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人