newstar2024小明同学们复现

发表于2024-12-15|更新于2024-12-20|CTF

|浏览量:

主要最近发现自己的取证题目比较薄弱，于是拿小明同学们练练手。

1.热心助人的小明同学

这个很简单，只要装好vol2，然后lsadump看密码就好

先看操作版本

1	vol.py -f image.raw imageinfo

屏幕截图 2024-12-20 140254

看到操作版本是 Win7SP1x86_23418

然后直接lsadump就好

屏幕截图 2024-12-20 140511

密码：ZDFyVDlfdTNlUl9wNHNTdzByRF9IQUNLRVIh（开头的0x48不是密码）

所以flag：flag{ZDFyVDlfdTNlUl9wNHNTdzByRF9IQUNLRVIh}

2.擅长音游的小明同学

拿到了一个vhd和一个君は加密本当に上手だな.zip，解压得到一个raw文件

vhd双击打开发现要密码，先看raw，用FTK挂载

..

发现有问题，加载不出来

原来是复现的文件有问题，原本题目是chal.E01文件，能加载出来，但是复现给的文件是chal.raw，加载不出来。。

遂卒。

3.擅长加密的小明同学

文章作者: MetaVi

文章链接: http://metaviii.github.io/2024/12/newstar2024%E5%B0%8F%E6%98%8E%E5%90%8C%E5%AD%A6%E4%BB%AC%E5%A4%8D%E7%8E%B0/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 MetaVi！

111真赏吗哥

wechat
alipay

相关推荐

2024浙江省省赛复现

1.2024浙江省赛复现1.real signin得到一张out.png，用zsteg跑一下发现：得到 1dEFfc1dGq1pxMgMWnihrMx9mewNgdvIWMvctrc 和 1ABCDEFGHIJKLMNabcdefghijklmnopqrstuvwxyzOPQRSTUVWXYZ0123456789+/ 猜测是换表的base64，解密得到flag：DASCTF{We1C0me_2_ZJCTF2024!} 2.机密文档得到一个加密的压缩包，发现加密方式是store，猜测为明文攻击 [!NOTE] 将一个名为flag.txt的文件打包成ZIP压缩包后，发现文件名称会出现在压缩包文件头中，且偏移固定为30 且默认情况下，flag.zip也会作为该压缩包的名称已知的明文片段有： “flag.txt” 8个字节，偏移30 ZIP本身文件头：50 4B 03 04 ，4字节满足12字节的要求其中 -C 后面跟的是原本的zip，-c 后面跟的是里面需要解密出来的zip，-x 后面是已知的明文，30...

写在前面MISC的学习是极广的，很多都要学习，而记在博客上是最方便有效的方法了，可以随时翻阅这篇博客会随着我的一点点学习而逐渐被填写，因此不会很快。。各种文件头尾123456789101112131415161718192021222324252627282930313233343536373839.zip的文件头：50 4B 03 04 14 00 08 00.rar的文件头：52 61 72 21.rar的文件尾：C4 3D 7B 00 40 07 00.7z的文件头：37 7A BC AF 27 1C.pyc的文件头：03 F3 0D 0A.jpg的文件头：FF D8 FF E0 00 10 4A 46 49 46 00 01.png的文件头：89 50 4e 47 0d 0a 1a 0a 文件尾：49 45 4E 44 AE 42 60 82.gif的文件头：47 49 46 38 39 61（GIF89A）或 47 49 46 38 37 61（GIF87A）.gif的文件尾：00 3B.gz的文件头：1F 8B 08 00.pyc的文件头：03 F3 0D...

Misc刷题1.BUU刷题1.签到顾名思义，签到，复制提交就好 2.金三胖简单的拆分gif，打开puzzlesolver一把梭 3.你竟然赶我走010一把梭 4.二维码用随波逐流分析一下发现有隐藏文件，binwalk提取出一个zip，加密的打开提示我们是4number，arp爆破出密码是7639，打开txt得到flag{vjpw_wnoei} 5.大白随波逐流爆宽高即可 6.乌镇峰会种图随波逐流一把梭 7.wireshark查找password，追踪tcp流，得到password=ffb7567a1d4f4abdffdb54e022f8facd 8.N种方法解决随波逐流梭出一张二维码，微信一扫就拿到flag 9.基础破解Arp暴力破解密码得到密码是2563，txt是base64加密，解密就行 10.文件中的秘密文件属性里有flag 11．...

一.NewStar-re复现学MISC果然还是要带点其他领域，那就学点RE吧！而RE的入门还是觉得NewStar好，不会了还有WP看（bushi 1.ez_debug当初不会写是因为这个代码风格我有点看不懂，而且很长加上不怎么会调试所以没写出来。这里我们应该发现decrypted flag应该是输入的flag与加密之后再解密的flag比较注意上面的you函数，步入后看到几个变量，下断点，调试能看得到v5的值在缓慢变化成flag，不断f8单步执行即得到flag 总结:看到提示后应该多步入函数看看，断点也可以下在函数里。F8单步执行可以缓慢查看变量的变化。

评论

Facebook CommentsGitalk

数据加载中