文章声明
“First
赛事介绍
为加速推进我国网络安全战略与数字化进程接轨,创新信息系统安全防护与网络安全技术研究模式,促进各行业网络安全建设的融合与协作,由鹏城实验室和中国网络空间安全人才教育论坛联合牵头举办了“鹏程杯”——联邦网络靶场协同攻防演练。本赛事汇集了能源、金融、铁路、汽车、电信政务、教育等二十余家行业分靶场特色场景,采用联邦模式组织开展攻防演练。
2023年第三届“鹏程杯”即将开始,咱先来点上届的赛题开开胃。
“Second
WriteUP
01
Misc_water
题目提示:water——水印;题目答案:PCL{f0b31d6f9abc59f34815678c31d79178}
下载附件并解压得到两个文件:
将png文件用foremost工具进行图片分离(注意:需要将原文件名修改才能正常分离,否则会因无法识别文件名导致图片分离失败):
使用010分析原图:发现给出的png文件结尾还有多余的数据,易知是一个十六进制倒序的jpg文件与一个png文件。
PNG文件头:89 50 4E 47,文件尾:AE 42 60 82
JPEG的文件头为:FF D8 FF,JPEG的文件尾为:FF D9
由此我们选择文件头至文件尾进行图片提取。对于十六进制倒序的jpg文件,用脚本进行重组:
f = open('ʍɐʇǝɹ‾dıɔʇnɹǝ_2B244h_3C30Fh.png', 'rb').read()f1 = open('out.png', 'wb')f1.write(f[::-1])
得到一张新图,并将后缀改为jpg:
拿到zip密码:ZC4#QaWbW
解压缩得到一图片:裂开.jpg
用010查看发现是png文件,修改后缀名
89 50 4E 47 0D 0A 1A 0A png文件头00 00 00 0D 文件头数据块表示IDCH49 48 44 52 IHDR 文件头数据块00 00 03 52 宽度00 00 02 80 高度08 06 00 00 00 每一位依次表示:图像深度:颜色类型,压缩方法,滤波器方法,隔行扫描方法E5 C6 E0 10 CRC32校验码png图片IHDR部分的CRC校验码,是根据IDCH和IHDR数据计算出来的。如果修改了图片的宽高,没有修改CRC编码,那么可以通过计算发现CRC编码不一致。import osimport binasciiimport structfor i in range(20000):wide = struct.pack('>i', i)for j in range(20000):high = struct.pack('>i', j)data = b'x49x48x44x52' + wide + high + b'x08x06x00x00x00'crc32 = binascii.crc32(data) & 0xffffffffif crc32 == 0xE5C6E010:i, j, crc32)print(type(data))exit(0)end=' ')
爆破宽高733和698,修改后得到flag
修改后得到flag:PCL{f0b31d6f9abc59f34815678c31d79178}
02
简单取证
题目答案:flag{a6b93e36-f097-11ec-a9b2-5254002d2b31}使用volatility查看镜像信息:
vol.py -f file.raw imageinfo
vol.py -f file.raw --profile=WinXPSP2x86 filescan
查看桌面上的文件:
对其进行base64解码,解码之后发现是倒置的zip,将其保存为download.zip文件。
a = open('download.zip', 'rb')b = a.read()[::-1]c = open('file.zip', 'wb')c.write(b)
发现打开file.zip需要密码,用cmdscan进行查看:
解密得到一个flag.txt文件,打开发现里面的数据很像坐标,用gnuplot转下得到一个二维码:
扫码即可拿到flag:
03
what_is_log
题目描述:某机器的mysql中存在一些秘密,通过log文件你能找到它输入的密码或者这个秘密吗?题目答案:PCL{1555a651a13ec074ce725383214fd7cc}
下载附件得到文件:
scap文件是使用EFI(可扩展固件接口)或UEFI(统一EFI)规范的计算机使用的固件文件,包含引导和加载计算机的低级程序。
思路1:用sysdig把scap文件导出成txt分析。
sysdig -r flag2.scap > 1.txt发现有查询表的结构,追踪这个表的写入和查询,从而找到flag。
思路2:可以直接用wireshark打开,查找字符串:success,找到flag。
04
babybit
题目内容:小明发现bitlocker加密的起止时间会被存储在注册表中,于是将注册表进行备份然后准备分析一下,可是不小心误删了备份文件,你可以帮小明恢复出删除的文件并找到bitlocker加密的开始和结束时间么?flag格式为PCL{YYYY/MM/DD_HH:MM:SS_YYYY/MM/DD_HH:MM:SS},前面是开始时间,后面是结束时间。题目答案:
找到flag:PCL{2022/6/13_15:17:39_2022/6/13_15:23:46}
需要题目环境请前往NSSCTF题库,需要文中所使用到的工具请私信我。
长按二维码识别关注
原文始发于微信公众号(Guoxin 401):2022年第二届“鹏程杯”WriteUP|Misc
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论