MISC1
導出index-demo.html,查看代碼發現隱藏了一長串base64php
使用base64隱寫進行解密html
key:"lorrie"windows
獲得key說明可能存在某種隱寫,是snow隱寫,但用網頁版的snow隱寫解出來是一串亂碼,因而嘗試使用本地版的SNOW.EXE工具
SNOW.EXE -p lorrie index-demo.html加密
flag{→_→←_←←_←←_←←_← →_→→_→←_←←_←←_← →_→←_←←_←←_← ←_←←_←←_←→_→→_→ ←_←←_←←_←→_→→_→ ←_← ←_←←_←←_←→_→→_→ →_→→_→→_→→_→←_← →_→←_←←_←←_← ←_←←_←←_←←_←←_← ←_←→_→→_→→_→→_→ →_→→_→→_→→_→→_→ ←_←←_←←_←←_←←_← ←_←←_←→_→←_← →_→←_←←_ ←←_← ←_←←_←←_←←_←→_→ ←_←→_→ ←_←←_←→_→→_→→_→ →_→→_→→_→→_→←_← ←_←←_←←_←←_ ←←_← ←_←←_←←_←→_→→_→ ←_←→_→ →_→→_→→_→→_→→_→ →_→←_←→_→←_← ←_← →_→→_→←_←←_←←_← →_→→_→→_→→_→←_← →_→←_←→_→←_← ←_←←_←←_←→_→→_→ ←_←←_←←_←→_→→_→ →_→→_ →←_←←_←←_← →_→→_→→_→←_←←_←}spa
把→_→和→_ →替換成-,把 ←_←和 ←_ ←替換成.,而後摩斯解密,獲得3d
67b33e39b5105fb4a2953a0ce79c3378htm
MISC2 -passwd
內存取證blog
volatility2.6.exe -f WIN-BU6IJ7FI9RU-20190927-152050.raw imageinfo內存
Win7SP1x86_23418, Win7SP0x86, Win7SP1x86
volatility2.6.exe -f WIN-BU6IJ7FI9RU-20190927-152050.raw --profile=Win7SP1x86_23418 hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
CTF:1000:aad3b435b51404eeaad3b435b51404ee:0a640404b5c386ab12092587fe19cd02:::
db25f2fc14cd2d2b1e7af307241f548fb03c312a
MISC3-虛實之間
binwalk提取 出一個明文和一個加密的壓縮包
修復加密壓縮包
使用AZPR4.0進行明文攻擊
123%asd!O
解壓獲得:
僅需5,跳過去
ffd5e341le25b2dcab15cbb}gc3bc5b{789b51
柵欄解密:
https://www.qqxiuzi.cn/bianma/zhalanmima.php
flag{febc7d2138555b9ebccb32b554dbb11c}
MISC4 隱藏的祕密
volatility2.6.exe -f 隱藏的祕密.vmem imageinfo
//Win2003SP0x86, Win2003SP1x86, Win2003SP2x86
volatility2.6.exe -f 隱藏的祕密.vmem --profile=Win2003SP0x86 filescan
windows下文件掃描出錯,換成kali下,也不行,把版本換成Win2003SP1x86
volatility -f 1.vmem --profile=Win2003SP1x86 filescan
volatility -f 1.vmem --profile=Win2003SP1x86 dumpfiles -Q 0x000000000412cde0 --dump-dir=.
查看文件獲得:
什麼?計算機又被不知名帳戶登陸了?明明在計算機管理中沒有這個用戶,爲何還會被這個用戶登陸呢?電腦跟前的你能幫我找到緣由嗎?flag爲該用戶的用戶名以及密碼的md5值
格式:md5(用戶名:密碼)
用hashdump會發現有多帳戶
導出註冊表
volatility -f 1.vmem --profile=Win2003SP1x86 dumpregistry --dump-dir= .
用註冊表分析工具打開registry.0xe1757860.SAM.reg,分析用戶。
能夠看到,Administrator是有登陸記錄的,其餘帳戶是沒有登陸記錄的。一個個查看下去發現帳戶FHREhpe$的記錄與Administrator相同
FHREhpe$
volatility -f 1.vmem --profile=Win2003SP1x86 hashdump |grep FHREhpe
FHREhpe$:1171:70fdb8f853bd427d7584248b8d2c9f9e:f3cf477fc3ea6ec0b3b5887616dd4506:::
根據題意作md5
FHREhpe$:NIAIWOMA
8cf1d5b00c27cb8284bce9ccecb09fb7