De1CTF2019 DeepInReal
2022/8/5 6:23:54
本文主要是介绍De1CTF2019 DeepInReal,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
一道有亿点复杂的取证题
附件超级大,建议先给百度网盘整个脚本再下载,网上找到的方法,亲测可用
翻了很久也没找到原题目,大概意思是要从这个嫌疑人的电脑里找flag,据说比赛时还给了四个hint。
转自大佬wp
解压压缩包获得三个文件
先看看这个txt
去搜一下世界上最常见和最弱的密码
那么我们用题目所提供的加解密软件 WinAES 和密钥 123456 即可解密 recovered.bin 文件。
得到的这个就是解密好的
浅浅010看一下
可以说明是vmdk镜像文件,但是这个文件头明显不对,去找个正常的vmdk改一下文件头
这里改完保存好之后最好复制一份留个备用
因为除了vmdk别的也没啥提示所以要选择去VM加载这个镜像文件
成功进入系统,发现需要登录密码,输错一次之后会有密码提示-headers,可以推出是刚刚恢复后的二进制文件的文件头i_love_kdmv
成功进入,发现桌面有个便签,大概意思是,“你不应该到这里来,我已经删除了一条重要的钥匙,怎么找到我?”。
可以去搜搜win10系统创造桌面便签的方式win+w
运行后右侧弹出窗口
可以看到sketchpad 功能处写着 bitlock,点进去看看。
发现密码linj920623!@#的bitlocker密码,去我的电脑里发现加密磁盘
输入密码成功解密
点进第一个文件夹(备份文件夹)可以看到一个ethpass.dic,明显是一个字典文件,搜一下eth,后面的这块的就不会了。。。
一个字典文件一个以太坊钱包信息文件
写脚本爆破密码和私钥(wp拿的)
点击查看代码
import eth_keyfile
import json
fp = open('ethpass.dict', 'r')
wallet = json.loads(open('UTC--2019-07-09T21-31-39.077Z--266ed8970d4713e8f2701cbe137bda2711b78d57', 'r').read())
while True:
try:
password = fp.readline().strip().encode('ascii')
if len(password) <= 0 :
print("password not found")
break
except:
continue
try:
result = eth_keyfile.decode_keyfile_json(wallet, password)
except:
continue
print(password)
print(result)
break
运行脚本得到加密钱包密码为 nevada,钱包私钥为 VeraCrypt Pass: V3Ra1sSe3ure2333,而且私钥还提示了VeraCrypt加密,那首先需要找到加密文件。
官方wp用了取证大师,并且要加载的是之前备份的完整镜像,找到的这个文件就是加密文件
结合据说是其中一个hintStartup,也就是自启动文件,去搜这个文件一般来说目录在哪,在运行里输入shell:startup
弹出来的就是要找的文件夹,我做的时候一开始是没看到文件的,然后点了显示隐藏文件才看到
把这个自启动程序拿出来看一下发现正是对我们要找的加密文件进行开机自动删除
用DiskGenius加载之前备份的磁盘或者直接在取证大师里都可以把文件导出来
直接用密码V3Ra1sSe3ure2333使用 VeraCrypt进行解密并挂载,进入磁盘发现全是图片
最后有个txt,点开说一共有185个文件但是现在只有184个文件,那就是有一个文件被隐藏了
试一下NTFS,发现被隐藏的文件
简单分析一下,大概意思是flag被存在flag.zip里,flag.zip在database(数据库)里
桌面上有个phpstudy和Navicat
这两个是可以搞MySQL数据库的,但是因为比赛是2019年的,镜像中的Navicat试用版已经过期,那就在phpstudy上找找,这里有个备份还原数据库,不过需要密码。
其实可以选择重置密码
但是我选择直接打开数据库目录
然后把这几个文件夹复制到我自己的电脑上
一开始试了一下直接用FileLocator Pro搜zip,但是没什么发现,想一想可能是经过了编码,先试试比较常见的base64,随便找个zipbase64加密一下,抓个文件头去搜
这个提出来解码就是zip文件不过结尾带了点东西
存下来之后拿到010发现最后这个应该是压缩包的注释,需要密码,把这段删了打开压缩包果然需要密码。
试一下NTFS搞出来的那串,成功解开压缩包,得到flag
过程参考:
官方wphttps://github.com/De1ta-team/De1CTF2019/blob/master/writeup/misc/DeepInReal/readme_zh.md
另一位参赛大佬wphttps://www.anquanke.com/post/id/183507#h2-0
这篇关于De1CTF2019 DeepInReal的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-05-15PingCAP 黄东旭参与 CCF 秀湖会议,共探开源教育未来
- 2024-05-13PingCAP 戴涛:构建面向未来的金融核心系统
- 2024-05-09flutter3.x_macos桌面os实战
- 2024-05-09Rust中的并发性:Sync 和 Send Traits
- 2024-05-08使用Ollama和OpenWebUI在CPU上玩转Meta Llama3-8B
- 2024-05-08完工标准(DoD)与验收条件(AC)究竟有什么不同?
- 2024-05-084万 star 的 NocoDB 在 sealos 上一键起,轻松把数据库编程智能表格
- 2024-05-08Mac 版Stable Diffusion WebUI的安装
- 2024-05-08解锁CodeGeeX智能问答中3项独有的隐藏技能
- 2024-05-08RAG算法优化+新增代码仓库支持,CodeGeeX的@repo功能效果提升
