2021CSTCCTF MISC-wp(部分)

---

RGB

1、打开文件发现每行三个255 联想题目应该是用RGB颜色画图

2、网上搜索了脚本修改了一下，由于给的txt一共有28864行，进行了各种拆分，最后拆分成41*704时能够看到上下截断的flag

from PIL import Image

x = 41
y = 704
im = Image.new("RGB",(y,x))
file = open("./code.txt","r")
for i in range(y):
    for j in range(x):
        line = file.readline()
        rgb = line.split("#")
        im.putpixel((i,j),(int(rgb[1]),int(rgb[0]),int(rgb[2].strip("\n"))))
im.show()
im.save("./flag.jpg")

3、用画图工具处理最后得到flag

zip

1、首先关于密码什么提示也没给，用ziperello爆破得到密码ff123

2、解压出来的文件里面readme.txt有培根密码，解密得到doc的密码


3、用小写的xyj解密，最后一行字体加颜色得到flag

Memory_1

1、首先把文件拖到kali里面
volatility -f mal.vmem imageinfo
发现是WIN7 SP1的

2、接着按题目从进程，文件里面找可疑的exe或者vb文件，最后在cmdline时发现一个文件，加密后提交发现正确，那就是这个文件UEAOGWBdwyydm.vbs
volatility -f memory --profile=Win7SP1x64 cmdline"

3、md5加密得到flag

Memory_2

1、首先用
volatility -f memory --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
命令列出系统中的用户，可知test$是隐藏用户

2、接着题目还要求进程来源，那就从psscan中寻找可能的进程，一开始尝试与1472相关的进程，发现都不对，最后在这发现一个net1.exe很可疑，因为net就是和创建用户有关的命令，尝试后发现正确
volatility -f memory --profile=Win7SP1x64 psscan