安恒四月月赛DASCTF-Misc Write Up

参考资料

http://www.ga1axy.top/index.php/archives/28/

https://shimo.im/docs/WjVJd6pqy8dWxd6w/ 

Misc

6G还远吗（签到题）

开始点击下载后发现文件接近3.45G，而且下载速度贼慢，上面显示下完需要7.8个小时不过我们比赛时间只有四个小时

于是现将文件的部分下载下来载入010中可以看到flag

涉及考点：断点下载

 

blueshark（流量分析）

下载附件得到一个流量包，用Wireshark载入打开寻找

搜索一下flag发现并没有相关的东西。于是放入Kali里用binwalk查看一下里面是否含有其他文件，发现有一个7z压缩包。

这里有三种方法得到这个压缩包

第一种：直接修改后缀名为7z

第二种：Kali里的dd命令

dd if=1.pcapng of=1.7z bs=1 skip=24437

# if=1.pcapng 输入文件名

# of=1.7z 输出文件名

# bs=1 一次读写块的大小为1byte

# skip=24437 从输入文件开头跳过24437个块后开始复制

第三种：在Wireshark提取出来

首先用Ctrl+F进行搜索。先选择字符串；然后选择分组字节流，输入7z点击查找

在下方有7·z这是7z压缩包的文件头，从这儿开始往后选择然后点击左上角文件->导出分组字节流(快捷键：Ctrl+Shift+X)重命名为：1.7z

打开压缩包发现有一个被加密了的文件

我们翻译一下txt文件的名字：密码是蓝牙PIN

所以这个流量包应该是一个蓝牙流量包。但是我们没有这个PIN咋办？直接在Wireshak里再次搜索一下PIN这三个关键字（注意要改成分组列表进行搜索）然后会搜到一串数字就是PIN

得到flag

Keyboard（内存取证）

下载完附件有点大约200MB，解压一个secret和一个后缀名raw的文件

经了解xxx.raw为一个镜像文件，这道题应该为内存取证题

我们需要用到一个工具Volatility

在Win下需要用cmd在Python2环境下执行。

Kali2020版之前自带这个工具，Kali命令为

volatility -f Keyboard.raw --profile=Win7SP1x64 filescan | grep keyboard

win下使用如下代码后查看信息

（注：需要先cd到该工具文件夹下或在该工具文件地址栏输入cmd也可直接打开cmd）

（注意-f后填keyboard.raw的绝对路径或把文件放在其文件夹下）

python2 vol.py -f XXX/XXX/Keyboard.raw --profile=Win7SP1x64 filescan | findstr keyboard
python2 vol.py -f Keyboard.raw --profile=Win7SP1x64 filescan | findstr keyboard

发现里面有一个txt的文本档我们需要将其提取出来，用到以下命令

（注：-Q后面是要提取文件的前面的一串数）

python2 vol.py -f Keyboard.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003d700880 -D ./ -u

然后会在Volatility的文件夹下生成一个file开头的文件

打开这个文件，可以用记事本或者其他软件我这里用了Notepad++

根绝提示CTFWikiCrypto ABC

然后一大串字母判断出是键盘密码

后面两句的意思是：解密小写更易看出，但是密码是大写

根据下行密文解得明文为

VERACRYPTPASSWORDISKEYBOARDDRAOBYEK

veracrypt password is keyboarddraobyek

（给出小写的原因是通过小写很容易看出是VeraCrypt的密码为KEYBOARDDRAOBYEK）

 

在Kali里执行这个命令判断它是个啥东西(师傅说根据经验可以看出是一个加密的磁盘）

file Secret

这里我们需要用到之前解密密文时提到的一个软件VeraCrypt

用它来挂载。首先点击选择文件，然后选择一个空盘符(电脑没有的)，最后点击加载

点击加载以后会让你输入密码，输入刚才得到的密码

加载完成后，会多出一个盘，就是我们刚才加载的盘

双击进去后会发现一个flag_is_here的文件夹点到最里面却没有发现flag

于是我们先修改一下让隐藏项目显示出来，Win10点击上方查看然后勾选隐藏的项目，即可发现一个flag.txt，打开可以得到flag

提交了一顿发现flag是个假的，这时想到之前做过的NpuCTF里有一道回收站的取证题，里面用到过NTFS隐写。于是我们在cmd里使用命令

dir /r

发现果然是NTFS隐写

但是没有显示出文件的名字于是我们用到下方软件NtfsStreamsEditor2

首先点击自定义磁盘/文件旁边的小文件夹Logo，随后选择挂载的盘的文件夹

选中后点击搜索就可以显示出来一个文件：flag.txt:hahaha.txt

我们双击它就可以打开得到flag

如果在之前用dir /r时显示出名字我们可以用以下命令将其提取出来

notepad flag.txt:hahaha.txt
#前一个是显示的文件：隐藏文件名

awdshell（流量分析）(未能复现，能力有限有待学习)

参考nepnep战队icePeak师傅的wp

https://mp.weixin.qq.com/s/X-kVjsii1o_nh3qf8221rg

师傅tql