傻乎乎地以为报名了,到了比赛才发现嘶吼的账号都没有,急需一个战队助理了555~

附件(0584)是找其他人要的,不太清楚题目名字叫什么。综合来说这次的MISC难度都不是很高,不要想的太复杂了

黄金六年

HxD打开,末尾是base64,在线转码看下,是RAR

10

python转换成文件

//感谢婉姐姐的脚本,蹩脚的我之前手工转有点小问题
import base64
s = base64.b64decode("UmFyIRoHAQAzkrXlCgEFBgAFAQGAgADh7ek5VQIDPLAABKEAIEvsUpGAAwAIZmxhZy50eHQwAQADDx43HyOdLMGWfCE9WEsBZprAJQoBSVlWkJNS9TP5du2kyJ275JzsNo29BnSZCgMC3h+UFV9p1QEfJkBPPR6MrYwXmsMCMz67DN/k5u1NYw9ga53a83/B/t2G9FkG/IITuR+9gIvr/LEdd1ZRAwUEAA==")

with open ("1.rar","wb") as f:
    f.write(s)
    f.close()

解压需要密码

视频在CTF中有取证隐写两种方式,具体的可以参考链接最下方MISC基础思维导图

这里的考点是取证,没有用到视频隐写工具。

逐帧播放(我日常都是用potpalyer作为播放器,F是下一帧,D是上一帧,很方便)

1-1

2-1

3-1

4-1

hint:这种题得把屏幕调亮一点

解出来完整的password是

iwantplayctf

解压得到flag

roarctf{CTF-from-RuMen-to-RuYuan}

forensic

volatility先分析镜像

volatility -f mem.raw imageinfo

1

pslist查看下当前进程,实话说还没明白pslistpsscan的区别

进程稍有点多,就不列举完了

2

psscan尝试Win7SP1x86_23418的时候没有结果,换Win7SP0x86正确显示

3

根据上图的进程分析,思路是先看notepad再看IE

notepad的插件我尝试没有成功过,不太清楚怎么使用

4

所以这里直接提取notepad.exe进程,PID为3524

volatility -f mem.raw --profile=Win7SP0x86 memdump -p 3524 -D ./

strings命令查看是否有无flag的提示

strings -e l 3524.dmp | grep flag

5

桌面上貌似有点东西
据EDS师傅说,桌面上有个logo tc(truecrypt)容器,也提取的出密码,就是最后没解出来是什么,感兴趣的有空可以试试。

说来惭愧,第一次做的时候因为strings命令忘了加l,我就直接使用了foremost去分离3524.dmp,没有被误导思路

foremost 3524.dmp

6

得到了唯一的压缩包——flag.zip

按取证题的起手式,还要查看一下内存里的图片

volatility -f mem.raw --profile=Win7SP0x86 filescan | grep -E 'jpg|png|jpeg|bmp|gif'   

7

熟悉的都知道,这是Windows画图默认保存的文件命名方式,肯定是人为的,提取出来查看一下

volatility -f mem.raw --profile=Win7SP0x86 dumpfiles -Q 0x000000001efb29f8 -n --dump-dir=./

得到图片,看起来是一串密码

8

用这个密码揭开之前的压缩包

得到flag

9

RoarCTF{wm_D0uB1e_TC-cRypt}

参考文章:

浅谈内存取证 - FreeBuf专栏·i春秋学院
i春秋作家:lem0n 原文来自:浅谈内存取证 0×00 前言 网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取…