2024CISCN 全国大学生信息安全竞赛创新实践赛MISC部分WP

MISC

一、火锅链观光打卡

打开后连接自己的钱包,然后点击开始游戏,答题八次后点击获取NFT,得到有flag的图片(虽然但是自己还让web手试了试抓包但是一无所获,对于hint产生怀疑了)

image

二、Power Trajectory Diagram

得到npz文件,改后缀为.zip,得到里面内含的四个npy文件,逐一使用python读取其中的内容

image

得到文件中的内容分别为index中是0~12,input中是13组可打印字符串,每组字符串个数是40个,一共是520组。并且打印trace中的内容发现就是520个数组,每个数组中应该是对应的功耗变化值,直接猜测520个分别对应Input中的520个字符,其中每组变化最大的就是密码中的字符。直接使用脚本处理

import numpy as np

# 从 trace.npy 文件中加载功耗数据
power_traces = np.load('trace.npy')

# 将520个数组分为13组,每组40个数组
num_groups = 13
group_size = 40
power_groups = [power_traces[i:i+group_size] for i in range(0, len(power_traces), group_size)]

# 对于每组,找出标准差最大的数组,并打印其索引
for group_index, power_group in enumerate(power_groups):
    max_std_index = np.argmax([np.std(trace) for trace in power_group])
    print(f'Group {group_index + 1}: Maximum Standard Deviation at index {max_std_index + 1}')

 

image

交了不对,emm可能是前面有错误吧,直接根据有意义的词去改,最终尝试后得到flag

flag{_ciscn_2024_}
三、神秘的文件

究极套娃,看的眼睛都要花了,真就纯找。得到PPT文件,直接改后缀为.zip去找

part1

在docProps目录下的两个xml中,app.xml提示了解密算法,core.xml提示了密文和密钥key,直接上赛博

image

image

part2

在ppt/embeddings文件夹下的docx中,从PPT打开的话就是第二章左上角那块黑色的,双击就行,打开后全选,改字体大小,改颜色,凯撒偏移量10解密,然后base64解密,得到part2

image

image

part3

在vbaProject.bin中,这个真的找了好久,后来也是网上搜得到说ppt隐写可能跟宏和宏脚本有关系,叫VBA工程解密。先010打开vbaProject.bin,找DPB字节,把最后一位改成x,然后保存,之后改后缀为.zip,直接打开会发现其中内涵的文件,打开VBA文件夹下的模块一

image

发现一段密文,不知道是啥但是提示是base64之后的,那就先解密呗,然后得到乱码,一般这种特殊字符多的不是RC4就是rot,最后发现是无密码RC4解密,然后再解一层base64

image

part4

直接打开PPT(因为它是由media文件夹下的图片拼成的),第三张,好像是要选可见隐藏字符,因为我电脑自动默认选的所以直接可以看,base64解码

image

part5

是在第五章ppt的注释中,直接赛博厨师帽跑,多层base64解码,得到第五部分

image

part6

是在第五张PPT正文边界的左上角,把它界面缩放或者直接拆media文件夹都可以,base64解码

image

part7

是在ppt\slides下的slides4.xml中,id4的位置,下面提示rot13 all,暗示包括number,base64解码

image

part8

在slideLayout2.xml中,南平,最开始没理解最后是啥意思,连一起了才看懂。。。。,就是要除去上面字符串中的Bb13。。。然后base64解码

image

image

part9

直接在media文件夹下,看那个猫人的图片左下角,base64解码

image

part10

在comment1.xml中,维吉尼亚解码,密钥是furry

image

总之最后flag是flag{e675efb3-346f-405f-90dd-222b387edee9} 南平 很南平

四、大学生安全测试能力调研问卷

填问卷

五、通风机

得到mwp文件,010打开补全前三位文件头,使用V4.0 STEP 7 MicroWIN SP9打开,每个地方都看看,之前没见过,最后在符号表中找到flag

image

base64解码后得到flag

image

六、盗版软件

最后一步很难绷,看了一天黑灯之后才做出来。。。

最开始得到的是一个内存文件dmp和一个exe,猜测dmp对应的是找浏览器记录,exe对应的是c2地址,exe在虚拟机里运行一下得到的是一个.ss文件夹里面有loader.exe和一个png,png最上面有数据块,直接stegsolve过滤r全通道,savebin,得到类似于zip的文件

image

观察字节,发现504b0304之间都是相隔了一个字节,直接用脚本提取试试

def process_zip_file(input_zip, output_file):
    with open(input_zip, 'rb') as f:
        data = f.read()
    processed_data = bytearray()
    # Process each pair of bytes
    for i in range(0, len(data), 2):
        processed_data.append(data[i])
    with open(output_file, 'wb') as f:
        f.write(processed_data)

if __name__ == "__main__":
    input_zip = "./11.zip"  # Replace with the path to your ZIP file
    output_file = "./33.zip"  # Replace with the desired output file path

    process_zip_file(input_zip, output_file)
    print(f"Processed file saved to {output_file}")
 

得到了zip包,打开后是一个.b文件。。。很难绷,根本没见过,并且里面是完整的字符串编码,也不是二进制乱码。。。base85解码后得到一堆乱码

image

接下来就是纯脑洞,如果是远程控制肯定是有shell的,并且去看了眼exe,发现是go语言编写的,并且在生成png和exe的同时应该还有个list文件用于存储观察者什么的(问了chat)

image

image

大胆脑洞猜这个list就是从png中lsb提取出来的东西,然后把它藏起来是因为里面有观察者控制信息就是shell......实在想不出来别的了,去沙箱测测,还真是恶意的,微步云直接分析出来IP了

image

对于域名,dmp用vol分析不了不知道为啥,都得到版本信息了,可能是不完整吧。那就只能strings了,搜搜关键词hack,因为软件名是跟hack有关的,直接strings grep,发现一个特别的并且访问不了的网站

image

直接md5交上去试试,发现是对的

image

  • 31
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值