2022海河工匠杯-单机取证

博主： unique-Elven
发布时间：2023 年 09 月 21 日
1768 次浏览
暂无评论
2458字数
分类： CTF刷题经验

![178abf48a10ea0c598c4fe6ed8362d5c.jpg](https://www.oisec.cn/usr/uploads/2023/09/3135178858.jpg)

# 1

这个纯纯就是最难的的呀base91,文件也不明显

![image.png](https://www.oisec.cn/usr/uploads/2023/09/4178196360.png)

解码出答案

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2614799231.png)

# 2

新建好一个new case之后，导入img文件,分析如下图：

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2588801844.png)

有四张图片，Extract File提取文件，第一张感觉最不一样。

然后把图片放到010里分析，更具不是头就是尾定理，发现最后一段好像是某种编码：

![image.png](https://www.oisec.cn/usr/uploads/2023/09/438864797.png)

尝试才知道有xinel-开头特征的Bubble babble编码

![image.png](https://www.oisec.cn/usr/uploads/2023/09/3350944009.png)

![image.png](https://www.oisec.cn/usr/uploads/2023/09/1781468181.png)

---

# 3

往下看发现一个test.zip的压缩包，也给提取出来，打开要密码，以为要爆破，准备拿ARCHPR.exe来着，结果随便试了下，密码就是123

![image.png](https://www.oisec.cn/usr/uploads/2023/09/324115144.png)

一开始我还以为是可爱的rabbit加密呢，结果半天搞不出来，看保哥思路才知道，原来是RC4加密，我一看才知道，我靠，原来这两种加密方式头部都挺像的，都是"U2F"

![image.png](https://www.oisec.cn/usr/uploads/2023/09/369080403.png)

# 4

在文件中发现一个叫word的使用教程的文档，根据经验所得，一看就很可疑，提取出来，放winhex果然一看是压缩包的头PK，好改。zip解压

一直找到world.xml看这个hex解码就是

![image.png](https://www.oisec.cn/usr/uploads/2023/09/1189847943.png)

# 5

发现有个hello,world文件一堆的字符串，放到去kali检测一下strings然后管道grep过滤args

出现的是base58编码

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2946826389.png)

解码：

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2347939956.png)

# 6

还有一个倒着的哈哈哈

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2777715800.png)

---

# 7

还发现一个东西，这有一串base64编码的数据，从base64,的后面开始复制到010editor新建的16进制文本上。然后在winhex转码一下。base64-->binary发现是个二维码，扫一下发现是谷歌而已，好像被骗了。但是这个思路挺有意思哦，记录一下吧那就。

![image.png](https://www.oisec.cn/usr/uploads/2023/09/1569609017.png)

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2477411187.png)

补充：哈哈哈，经过保哥的提点我才明白，原来还得再次分离，首先我试了试binwalk工具，发现确实话有个png文件，但是没给我分离出来，所以可以试试用foremost这个工具试试分离，才出现两个图片，一扫就是evidence 7

![image.png](https://www.oisec.cn/usr/uploads/2023/09/3632768304.png)

# 8

发先就是个base64加密的文本

![image.png](https://www.oisec.cn/usr/uploads/2023/09/1508004904.png)

---

# 9

随便看呀看，发现一串数字试一试，用hex解码两边就是答案

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2791345833.png)

---

# 10

哈哈哈还有一个直接就是个图片，直接提取文件，然后获取文件的MD5

在windows中可以用下面这条命令计算样本MD5: `certutil -hashfile %样本%  MD5`
![image.png](https://www.oisec.cn/usr/uploads/2023/09/3544339803.png)

---

最后修改：2024 年 12 月 14 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

2022海河工匠杯-单机取证

unique-Elven • 2023 年 09 月 21 日

![178abf48a10ea0c598c4fe6ed8362d5c.jpg](https://www.oisec.cn/usr/uploads/2023/09/3135178858.jpg)

# 1

这个纯纯就是最难的的呀base91,文件也不明显

![image.png](https://www.oisec.cn/usr/uploads/2023/09/4178196360.png)

解码出答案

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2614799231.png)

# 2

新建好一个new case之后，导入img文件,分析如下图：

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2588801844.png)

有四张图片，Extract File提取文件，第一张感觉最不一样。

然后把图片放到010里分析，更具不是头就是尾定理，发现最后一段好像是某种编码：

![image.png](https://www.oisec.cn/usr/uploads/2023/09/438864797.png)

尝试才知道有xinel-开头特征的Bubble babble编码

![image.png](https://www.oisec.cn/usr/uploads/2023/09/3350944009.png)

![image.png](https://www.oisec.cn/usr/uploads/2023/09/1781468181.png)

---

# 3

往下看发现一个test.zip的压缩包，也给提取出来，打开要密码，以为要爆破，准备拿ARCHPR.exe来着，结果随便试了下，密码就是123

![image.png](https://www.oisec.cn/usr/uploads/2023/09/324115144.png)

![image.png](https://www.oisec.cn/usr/uploads/2023/09/369080403.png)

# 4

在文件中发现一个叫word的使用教程的文档，根据经验所得，一看就很可疑，提取出来，放winhex果然一看是压缩包的头PK，好改。zip解压

一直找到world.xml看这个hex解码就是

![image.png](https://www.oisec.cn/usr/uploads/2023/09/1189847943.png)

# 5

发现有个hello,world文件一堆的字符串，放到去kali检测一下strings然后管道grep过滤args

出现的是base58编码

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2946826389.png)

解码：

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2347939956.png)

# 6

还有一个倒着的哈哈哈

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2777715800.png)

---

# 7

![image.png](https://www.oisec.cn/usr/uploads/2023/09/1569609017.png)

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2477411187.png)

![image.png](https://www.oisec.cn/usr/uploads/2023/09/3632768304.png)

# 8

发先就是个base64加密的文本

![image.png](https://www.oisec.cn/usr/uploads/2023/09/1508004904.png)

---

# 9

随便看呀看，发现一串数字试一试，用hex解码两边就是答案

![image.png](https://www.oisec.cn/usr/uploads/2023/09/2791345833.png)

---

# 10

哈哈哈还有一个直接就是个图片，直接提取文件，然后获取文件的MD5

在windows中可以用下面这条命令计算样本MD5: `certutil -hashfile %样本%  MD5`
![image.png](https://www.oisec.cn/usr/uploads/2023/09/3544339803.png)

---

2022海河工匠杯-单机取证

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

BUUCTF-CrackRTF(Reverse逆向)

BUUCTF-[2019红帽杯]easyRE(Reverse逆向)

SSRF

2022年浙江省职业院校技能大赛高职组信息安全管理与评估

HUAWEl-Student-Developers-华为校园开发者计划

OPENSSL-2023/10/31学习记录(base系列编码/单向散列函数/可信树)

参加数学建模比赛后的一点心得与体会

第四届“网鼎杯”网络安全大赛

BUUCTF-[GUET-CTF2019]re(Reverse逆向)

2022海河工匠杯-单机取证

2022海河工匠杯-单机取证

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

2022海河工匠杯-单机取证

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款