- 好看的维吾尔族小姐姐【图片】
- 消息传递【流量分析】
- 菜鸟黑客1【内存取证】
- 菜鸟黑客2
- 人生之路
- 汤姆历险记
因为题目在动态变化,flag可能会不同,但是思路是一样的 ps:感谢大师傅~
好看的维吾尔族小姐姐
思路:crc爆破得宽高,左右翻转,datamatrix,逆序,html解码。
解压压缩包,得到不知道是什么类型的文件。
虚拟机下用命令查看类型,得到png类型,修改尾缀
file 文件名
打开发现图片不完整,winhex用一下(圈出来的地方就是后续需要注意的地方)
CRC爆破,py代码
import binascii
import struct
crc32_hex = 0x52084BFB #这个地方就填写上图圈出来的CRC,0x不是十六进制
filename = "好看的维吾尔族小姐姐/attachment-1 (2)/1.png" #这个地方就是保存图片的地址
crcbp = open(filename, "rb").read()
for i in range(2000):
for j in range(2000):
data = crcbp[12:16] + \
struct.pack('>i', i) + struct.pack('>i', j) + crcbp[24:29]
crc32 = binascii.crc32(data) & 0xffffffff
if(crc32 == crc32_hex):
print(i, j)
print('wid:', hex(i))
print('hight:', hex(j))
得到结果
把wid,hight数值带进去,保存再打开图片就可
得到这个图片
发现是matrixdata
注意要左右对称这个图片才可以扫码成功!
可用这个扫码:https://products.aspose.app/barcode/zh-hans/recognize#
得到html的倒叙
用在线工具把这串字符顺序逆序一下再HTML解码就可
大功告成!
ISCC{you_got_it_welldone!}
消息传递
主要思路: 流量包中有邮件传输,找到IMF其中有picture.rar和p2.png的都导出,只有picture.rar有用,打开都为加密的图片,找不到解压密码,就想着看一下crc,发现只有两种,crc=0xb1852b0d,crc=0x9de9e501,用0,1代替,得到结果,再对应字典去解决,得到最后的结果。
首先导出,
picture.rar发现是加密的图片压缩包
p2.png看到图片(没啥用的)
回到picture.rar发现crc只有两种
crc=0xb1852b0d,crc=0x9de9e501。
既让只有两种猜一下是不是分别代表0或者1.
发现b1852b0d=0,9de9e501=1;
得到结果,ISCC{i2s0c2c3}
别忘记,题目给的附件还有一个字典,根据结果对应字典就可找到最后结果。
找到结果。
ISCC{mb49gbgc}
菜鸟黑客1
思路: 1,打开为内存镜像,首先尝试用Volatility解,得到emoji.jpg,以及一个提示"pay attention to emoji’s eyes",通过提示结合摩斯密码解得"EMOJIISFUN",导出的emoji.jpg,再用foremost,得到zip文件,是一个加密的维吉亚密码,然后我就一直找不到解密加密文件的密码。
2.再去看一个题目给的信息,“找出菜鸟黑客小明留下的flag文件”,说是flag信息。 就用volatility找一下flag信息,果然找到一个放在桌面的flag.txt,但是导不出来,怀疑是被隐藏或者删除了,用diskgenius恢复,导出flag.txt,根据提示有秘密和des,用passware
kit尝试开机密码这些,得到ISCC2023密钥,再去解密des,得到结果。
一.
1.volatility弄一下版本信息,
volatility.exe -f “E:\misc\Novice hacker (1)\Novice hacker.raw” imageinfo
一般都会看一下有些什么,用volatility的pslist命令看
volatility.exe -f “Emisc\Novice hacker (1)\Novice hacker.raw” --profile=Win7SP1x64 pslist`
看notepad.exe的信息用命令notepad,但是因为版本为win7,notepad不行,就用editbox
最下面看到这个
就在文件中找一下emoji,顺便导出,
我导出的是.dat为尾缀的改为jpg就行
volatility.exe -f “E:\misc\Novice hacker (1)\Novice hacker.raw” --profile=Win7SP1x64 filescan | findstr emoji
导出
2.把得到的图片,foremost分离可得到另外的一个zip
是一个加密的维吉尼亚
3.突然意识到前面
pay attention to emoji’s eyes
摩斯密码试一下,眼为点,记得其中有空格的咯
得到EMOJIISFUN,
再去看zip,后面一直找不到解密,所以尝试换思路。
二.
用volatility查找flag,尝试导不出flag.txt文件
volatility.exe -f “C:\misc\Novice hacker (1)\Novice hacker.raw” --profile=Win7SP1x64 filescan | findstr flag
volatility.exe -f “C:\misc\Novice hacker (1)\Novice hacker.raw” --profile=Win7SP1x64 dumpfiles -Q 0x000000007e959a20 -D “C:\misc\Novice hacker (1)\2”
用diskgenius恢复,
桌面找到flag.txt,选择复制到其他位置导出
通过总爱用一个密码,猜一下开机密码这些
用passware kit 找密码
bingo!
密钥ISCC2023
des解密就可:
得到结果。
ISCC{dbsy_cdis_fd7n_s4fd}
菜鸟黑客2
思路:哈哈哈,我之前的努力果然没有白费,就是我的思路1
打开为内存镜像,首先尝试用Volatility解,得到emoji.jpg,以及一个提示"pay attention to emoji' eyes",通过提示结合摩斯密码解得"EMOJIISFUN",导出的emoji.jpg,再用foremost,得到zip文件,是一个加密的维吉亚密码,然后我就一直找不到解密加密文件的密码!!!但是通过菜鸟黑客1找到了解压密码。
把ISCC2023,拿去解压,得到维吉亚密码解压的文件,再用"EMOJIISFUN"为维吉尼亚的密钥就得ISCC的flag了。
ISCC{afdf_buhi_pqwd_tfus}
人生之路
思路:以图片的名字,解压压缩包;再把解得压缩包的flag的长串字母转成wasd的样子,再画图,就可。
曾经有人给我说,misc算是一种脑筋急转弯,这道题充分体现了这句话。
1.用图片的名字,解压压缩包
得到长串字母
2.用这个网站里的rot功能换成wasd的样子
https://1357310795.github.io/CyberChef-CN/
得到这个样子,其中Z代表2,I代表1,a代表左,w代表上,s代表下,d代表右,sd表示斜右向下.
3.用画图软件,画出来就行
得到结果 ISCC{LHHVKAJUMUPLMAI}
汤姆历险记
思路:foremost得到压缩的加密word文档,winhex打开原始图片,词频分析所得的字符,解压word,通过间距判断获得摩斯密码解密
从这里开始知道结尾的字符复制到词频分析网站中,
http://corpus.zhonghuayuwen.org/CpsTongji.aspx?WebShieldDRSessionVerify=GP8eQsnVbxnYycB1KjoM,得到结果。
得到解word的密码 {yasuobpwrd91702!@$%^&*}
2.
解word,发现行距不同,尝试单倍行距为‘.’,1.5倍行距为‘-’,空行为空格,
则摩斯密码为
得到I2S0C2C3
再对照给的dictionary.txt,就可了
love and peace