寫在前面:
小菜雞又來寫博客了
啊啊啊啊啊小菜雞又被虐了一遍,好疼啊[/心疼的抱住自己.jpg] [/被自己菜哭.jpg]
不過還是要繼續學習啊!!!!沖沖衝!!!!
misc
0x016G還遠嗎(簽到題)
開始點擊下載後發現文件接近1G,而且速度賊慢,上面顯示下完需要14天╭(╯^╰)╮(不如我們14天后再戰!)不過我們比賽事假只有四個小時哎,不如先下一點用010打開看看?
果不其然出來了!
(這裏忘記截圖了,大概就是用010或者sublime直接打開第一行就是)
(感覺自己有點敷衍)
(學習不認真,腿給你打斷)
0x02blueshark
拿到題目的話是一個流量包,(在這方面還是個弟弟,希望各位路過的大佬多指導指導)
我們把它先放到wireshark裏瞅一瞅
(就一直查看每個組找到的)
發現裏面有一個7z的壓縮包,然後去改了後綴名,發現壓縮包裏面有一個加密的txt文件
文件名提示password_is_Bluetooth_PIN,然後就去找PIN碼(那個小工具不支持7z壓縮包的爆破嗚嗚嗚)
然後在wireshark直接搜索PIN就會出來啦141854(這個也是事後看大佬博客曉得的嗚嗚嗚)
輸入密碼即可得到flag
flag{6da01c0a419b0b56ca8307fc9ab623eb}
然後下面再來說一說比較容易得到7z這個壓縮包的方法
(是看了nepnep戰隊wp和蓋樂希大佬的博客才學會的,嗚嗚嗚┭┮﹏┭┮太菜了,學到了新知識
正片開始:(上面都是渣渣的做題的笨方法)
已知是一個流量包,wireshark打開觀察是一個關於藍牙音頻的流量包,將該流量包放到虛擬機裏使用binwalk -e命令
發現有個7z文件,但是binwalk和foremost都是提取不出來的
那麼下面有兩種方法可以得到這個壓縮包呀~
1.使用dd命令
dd if=1.pcapng of=1.7z bs=1 skip=24437
#if=blueshark.pcapng 輸入文件名
#of=1.7z 輸出文件名爲1.7z
#bs=1 一次讀寫塊的大小爲1byte
#skip=24437 從輸入文件開頭跳過24437個塊後開始複製
然後就是解壓縮發現壓縮文件txt,然後去wireshark搜索PIN得到壓縮包密碼
2.使用wireshark
我們使用binwalk知道里面有一個7z的壓縮包
在搜索欄搜索7z
在左上角文件→導出分組字節流→文件名爲*.7z就可以啦~~~
然後就是解壓縮發現壓縮文件txt,然後去wireshark搜索PIN得到壓縮包密碼啦~
(o゜▽゜)o☆[BINGO!]
0x03Keyboard
終於!!!到了重頭戲了
這是我做出來的第一個取證題✿✿ヽ(°▽°)ノ✿在此謝謝nepnep的aaaaa師傅和Dalock師傅,還有Ga1@xy師傅,三位師傅tql,人也超好,很有耐心的給講題,謝謝三位師傅
題目下載下來發現文件很大,然後打開發現一個爲*.raw和secret文件
請教了各位大佬後,將覆盤過程記錄於此
raw是一個鏡像文件,判斷出題爲內存取證,
(此工具爲volatility,在win下需要用cmd在Python2環境下執行,Kali2020版之前自帶這個工具,Kali命令爲
volatility -f Keyboard.raw --profile=Win7SP1x64 filescan | grep keyboard
win下使用如下代碼後查看信息
(需要先cd到該工具文件夾下,在該工具文件地址欄輸入cmd也可直接打開cmd)
(注意keyboard.raw的絕對路徑鴨~~~)
python2 vol.py -f Keyboard.raw --profile=Win7SP1x64 filescan | findstr keyboard
然後發現了一個比較可以的文件t.txt,接着我們把它dump下來(如果覺得其他exe文件可疑也可以與txt文件一起dump下來)
python2 vol.py -f Keyboard.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003d700880 -D ./ -u
在該工具的文件夾下會生成一個文件,,注意時間呀
我們用sublime打開文件成功得到線索啦
根據題目提示是鍵盤密碼qwe=abc,
根據紅框第一行說明密碼是大寫,根據下行密文解得明文爲
VERACRYPTPASSWORDISKEYBOARDDRAOBYEK
veracryptpasswordiskeyboarddraobyek(給出小寫的原因是通過小寫很容易看出是VeraCrypt的密碼爲KEYBOARDDRAOBYEK
到這raw文件已經被我們看出底牌啦,接着我們再看一看另一個文件
在Kali裏執行這個命令(師傅說根據經驗可以看出是一個加密的磁盤[/頭禿.jpg])
接下來我們用VeraCrypt這個工具掛載加密卷
方法:右下角選擇文件選擇secret文件所在路徑;點擊空的盤符(電腦上沒有的);點擊左下角加載;密碼爲剛纔得到的大寫密碼,稍微等待一下下就好啦
這樣就會得到一個新的本地磁盤(我之前選擇的盤符是G:)
我們雙擊打開後會獲得一個here.vhd文件,繼續打開之後發現一個新加捲H
打開我們的新加捲
興致沖沖打開txt文件後,發現誒?!flag!!!
(這個txt是一個隱藏文件,建議平常顯示隱藏文件就好,這樣就不會想不到他還是個隱藏文件啦)
炒雞興奮的提交flag後。。。。。就。。。。沒有然後了,這個flag是個假的
(生活總會在你快要飄了的時候給你潑一盆涼水(透心涼,心飛揚)
╭(╯^╰)╮嗚嗚嗚
觀察這個假的flag發現我們裏真正的flag應該不遠,他就藏在這附近
這裏畫一個重點!!!NTFS隱寫
簡單來說就是有些看不見的文件作爲數據流附着在能看見的文件上
我們用下面這個代碼顯示(當前文件夾下的cmd命令行
dir /r
這個一般會顯示所有的文件名
(但是這裏並沒有顯示,我們用個工具解出(這個記得關殺軟))
工具名叫這個↓
雙擊打開該文件後即可得到flag
如果我們在dir /r命令後得到數據流文件的名字,我們可以用下列文件直接打開該文件
notepad flag.txt:hahaha.txt
#前一個是顯示的文件:隱藏文件名
成功得到flag
開心心
0x04awdshell | 未解決,先鴿這
參考nepnep戰隊icePeak師傅的wp
https://mp.weixin.qq.com/s/X-kVjsii1o_nh3qf8221rg
師傅tql
crypto
not_RSA
參考nepnep戰隊隨緣師傅的解法
https://mp.weixin.qq.com/s/GfeqXbuS_7se3I9QyyASHw
打開微信,關注公衆號即可獲得快樂
(大聲bb:隨緣師傅tql,考慮考慮帶帶弟弟吧嗚嗚嗚)
未完待續loading…
那也撒個花吧✿✿ヽ(°▽°)ノ✿