type
Post
status
Published
date
slug
summary
tags
CTF
推荐
category
CTF-WP
category (1)
icon
password
comment
MISC
ex1t
根据空白的提示中的 “c 的标准” ,很自然想到 “” 字符截断,测试发现 python 执行脚本时某行中间如果出现 “” ,这一行后面的就被舍弃(包括换行),直接和下一行拼接。所以可以将三引号用 “” 分隔。
经过试验,发现python3.6版本可以,3.9及以上版本不行
world.execute.me
payload
ba4a285804b556b829e6cf944cd87d8
68c44a510337297ee17d31c0de99c7e
Forensics
Cain_is_hacker
先查看镜像类型
image-20240328185428904
得到了镜像类型,先去常规搜索一下文件
image-20240328185822943
导出这个可疑文件查看一下
image-20240328190338864
解压得到两个文件
image-20240328190615454
看一下importfile
image-20240328190903430
可以知道是EncFS加密过后的文件,要去获得密钥解密
查看一下进程
image-20240328191139992
得到了可疑的win7便笺文件,去dump下来
image-20240328191531895
在win7的C:Notes路径下用dump下来的文件重命名成StickyNotes.snt,放在该目录下,再启动win7的便笺程序就可以了(这边注意AppData文件夹是隐藏文件,要关闭查看隐藏)
image-20240328234211594
6GMtDa2H7uy7mLLi75A9QqfwbwUSVGKDQW1ot41U1ptKr5MCoXscSRDWb9nSQZUYefiMWH99Xu7zaXejrp3A9fUdx5VWRjpypcUhCEgh3zgbsRmvWJjEnRMfosBxxwbXLc
解密得到:Cute cain reminds you that you may use the following key welcome_to_NkCTF_and_this_is_the_enkey
将importfile重命名成.encfs6.xml,用encfs mp去挂载
image-20240329132813574
看到挂载成功
image-20240329132840114
得到一个ez.xlsx
打开发现报错,用010查看发现宏特征
image-20240329133215690
用oletools工具去查看宏代码
image-20240329134228278
得到base64字符串,拿去解密
image-20240329134322917
得到一个文件,保存一下,接下来就要解密这个文件
image-20240329135100878
去镜像里恢复密钥文件
mftparser: 这是 vol.py 工具的一个插件,用于解析 Master File Table (MFT)。MFT 是 NTFS 文件系统中的一个关键数据结构,用于存储文件和目录的元数据。grep "key" -A10 -B10 是一个命令,用于在文件中搜索字符串 “key”,并打印出每个匹配行的前 10 行(-B10)和后 10 行(-A10)。
image-20240329144849555
找到key:nT0XoHBA2!Uc?
再去找加密软件,查看控制台信息
image-20240329145308148
得到了加密软件hidden-tear.exe,去网上找一下
解密的时候注意把原来的文件名改成.locked结尾的文件,放在和解密程序同一个文件夹下
image-20240329151559101
image-20240329151607227
解密成功
image-20240329151701635
NKCTF{C0ngr@tu1atiOns_On_coMpleting_t3e_Fo3eNs1cs_Ch41lenge_I_wi1l_giv4_y0u_A_cain!!!!}
- 作者:qetx
- 链接:http://qetx.top/article/c974d147-8801-42f1-b98c-6bf8cb6baddc
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
