2024CISCN 全国大学生信息安全竞赛创新实践赛MISC部分WP

MISC

一、火锅链观光打卡

打开后连接自己的钱包，然后点击开始游戏，答题八次后点击获取NFT，得到有flag的图片（虽然但是自己还让web手试了试抓包但是一无所获，对于hint产生怀疑了）

二、Power Trajectory Diagram

得到npz文件，改后缀为.zip，得到里面内含的四个npy文件，逐一使用python读取其中的内容

得到文件中的内容分别为index中是0~12，input中是13组可打印字符串，每组字符串个数是40个，一共是520组。并且打印trace中的内容发现就是520个数组，每个数组中应该是对应的功耗变化值，直接猜测520个分别对应Input中的520个字符，其中每组变化最大的就是密码中的字符。直接使用脚本处理

import numpy as np

# 从 trace.npy 文件中加载功耗数据
power_traces = np.load('trace.npy')

# 将520个数组分为13组，每组40个数组
num_groups = 13
group_size = 40
power_groups = [power_traces[i:i+group_size] for i in range(0, len(power_traces), group_size)]

# 对于每组，找出标准差最大的数组，并打印其索引
for group_index, power_group in enumerate(power_groups):
    max_std_index = np.argmax([np.std(trace) for trace in power_group])
    print(f'Group {group_index + 1}: Maximum Standard Deviation at index {max_std_index + 1}')

 

交了不对，emm可能是前面有错误吧，直接根据有意义的词去改，最终尝试后得到flag

flag{_ciscn_2024_}

三、神秘的文件

究极套娃，看的眼睛都要花了，真就纯找。得到PPT文件，直接改后缀为.zip去找

part1

在docProps目录下的两个xml中，app.xml提示了解密算法，core.xml提示了密文和密钥key，直接上赛博

part2

在ppt/embeddings文件夹下的docx中，从PPT打开的话就是第二章左上角那块黑色的，双击就行，打开后全选，改字体大小，改颜色，凯撒偏移量10解密，然后base64解密，得到part2

part3

在vbaProject.bin中，这个真的找了好久，后来也是网上搜得到说ppt隐写可能跟宏和宏脚本有关系，叫VBA工程解密。先010打开vbaProject.bin，找DPB字节，把最后一位改成x，然后保存，之后改后缀为.zip，直接打开会发现其中内涵的文件，打开VBA文件夹下的模块一

发现一段密文，不知道是啥但是提示是base64之后的，那就先解密呗，然后得到乱码，一般这种特殊字符多的不是RC4就是rot，最后发现是无密码RC4解密，然后再解一层base64

part4

直接打开PPT（因为它是由media文件夹下的图片拼成的），第三张，好像是要选可见隐藏字符，因为我电脑自动默认选的所以直接可以看，base64解码

part5

是在第五章ppt的注释中，直接赛博厨师帽跑，多层base64解码，得到第五部分

part6

是在第五张PPT正文边界的左上角，把它界面缩放或者直接拆media文件夹都可以，base64解码

part7

是在ppt\slides下的slides4.xml中，id4的位置，下面提示rot13 all，暗示包括number，base64解码

part8

在slideLayout2.xml中，南平，最开始没理解最后是啥意思，连一起了才看懂。。。。，就是要除去上面字符串中的Bb13。。。然后base64解码

part9

直接在media文件夹下，看那个猫人的图片左下角，base64解码

part10

在comment1.xml中，维吉尼亚解码，密钥是furry

总之最后flag是flag{e675efb3-346f-405f-90dd-222b387edee9} 南平 很南平

四、大学生安全测试能力调研问卷

填问卷

五、通风机

得到mwp文件，010打开补全前三位文件头，使用V4.0 STEP 7 MicroWIN SP9打开，每个地方都看看，之前没见过，最后在符号表中找到flag

base64解码后得到flag

六、盗版软件

最后一步很难绷，看了一天黑灯之后才做出来。。。

最开始得到的是一个内存文件dmp和一个exe，猜测dmp对应的是找浏览器记录，exe对应的是c2地址，exe在虚拟机里运行一下得到的是一个.ss文件夹里面有loader.exe和一个png，png最上面有数据块，直接stegsolve过滤r全通道，savebin，得到类似于zip的文件

观察字节，发现504b0304之间都是相隔了一个字节，直接用脚本提取试试

def process_zip_file(input_zip, output_file):
    with open(input_zip, 'rb') as f:
        data = f.read()
    processed_data = bytearray()
    # Process each pair of bytes
    for i in range(0, len(data), 2):
        processed_data.append(data[i])
    with open(output_file, 'wb') as f:
        f.write(processed_data)

if __name__ == "__main__":
    input_zip = "./11.zip"  # Replace with the path to your ZIP file
    output_file = "./33.zip"  # Replace with the desired output file path

    process_zip_file(input_zip, output_file)
    print(f"Processed file saved to {output_file}")

得到了zip包，打开后是一个.b文件。。。很难绷，根本没见过，并且里面是完整的字符串编码，也不是二进制乱码。。。base85解码后得到一堆乱码

接下来就是纯脑洞，如果是远程控制肯定是有shell的，并且去看了眼exe，发现是go语言编写的，并且在生成png和exe的同时应该还有个list文件用于存储观察者什么的（问了chat)

大胆脑洞猜这个list就是从png中lsb提取出来的东西，然后把它藏起来是因为里面有观察者控制信息就是shell......实在想不出来别的了，去沙箱测测，还真是恶意的，微步云直接分析出来IP了

对于域名，dmp用vol分析不了不知道为啥，都得到版本信息了，可能是不完整吧。那就只能strings了，搜搜关键词hack，因为软件名是跟hack有关的，直接strings grep，发现一个特别的并且访问不了的网站

直接md5交上去试试，发现是对的