Get-the-key.txt
下载得到zip文件,解压之后得到无后缀文件,丢到kali里file一下
看到是这个linux系统文件,之前做过一道类似的,所以
fls forensic100
发现这些带有.txt的文件和纯数字文件都已经被删除
尝试用extundelete forensic100 --restore-all恢复
报错ERROR: The specified device does not have a journal file. This program only undeletes files from file systems with journals.extundelete: Operation not permitted when trying to load filesystem parameters
大意就是指定的设备没有日志文件。此程序仅从带有日志的文件系统中取消删除文件。extundelete:尝试加载文件系统参数时不允许执行操作
多方查找资料发现extundelete只支持ext3、ext4的文件系统,而foremost支持ext2、 ext3 、ext4、vfat、NTFS、ufs、jfs这些文件系统,具体参见这篇文章
但是这时用这些恢复指令都没啥用又去查了一下,需要将这个forensic100挂载一下,题目目录下
mkdir /tmp/forensic
sudo mount -o loop forensic100 /tmp/forensic
cd /tmp/forensic
发现会有之前看到的数字文件
grep -r ket.txt
显示是数字1的那个文件,是个gzip文件,gunzip<1得到
SECCON{@]NL7n+-s75FrET]vU=7Z}
low
下载得到bmp图像,放入stegSolve中,调整通道发现猫腻
应该是下面藏了一个二维码,结合题目应该是LSB低位隐写(一般作用于bmp和png格式图片)基于不可感知的要求,即数据的变化几乎不会引起使用的者的察觉,将水印信息嵌入到数据的最低有效位(Least Significant Bit),也就是将图片的RGB数值转换为二进制数据,然后用水印替换掉最低位,这种变化对于人眼来说是不可察觉的。
#!/usr/bin/env python3
import PIL.Image as Image
img = Image.open('low.bmp')
img_tmp = img.copy()
pix = img_tmp.load()
width,height = img_tmp.size
for w in range(width):
for h in range(height):
if pix[w,h]&1 == 0:
pix[w,h] = 0
else:
pix[w,h] = 255
img_tmp.show(
flag{139711e8e9ed545e}
misc1
题目d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1e6b3e3b9e4b3b7b7e2b6b1e4b2b6b9e2b1b1b3b3b7e6b3b3b0e3b9b3b5e6fd
两两一组拆分
数字都大于128小于256
应该是对于两两一组的数对128取余
54 68 61 74 20 77 61 73 20 66 61 73 74 21 20 54 68 65 20 66 6c 61 67 20 69 73 3a 20 44 44 43 54 46 7b 39 61 66 33 63 39 64 33 37 37 62 36 31 64 32 36 39 62 31 31 33 33 37 66 33 33 30 63 39 33 35 66 7d
DDCTF{9af3c9d377b61d269b11337f330c935f}
神奇的modbus
pcapng用wireshark打开,根据题目锁定modbus
追踪tcp流,得到
sctf{Easy_Modbus}
Cephalopod
打开wireshark追踪tcp流发现有flag.png
放入kali中binwalk一下果然有。
binwalk -e
foremost 无果
使用tcpxtract得到图片两张
打开得到
HITB{95700d8aefdc1648b90a92f3a8460a2c}
1264
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
