BMZCTF:2018 护网杯 easy_dump

http://bmzclub.cn/challenges#2018%20%E6%8A%A4%E7%BD%91%E6%9D%AF%20easy_dump

在这里插入图片描述
题目描述

the flag format:flag{}

easy_dump.img

volatility -f easy_dump.img imageinfo

在这里插入图片描述

volatility -f easy_dump.img --profile=Win7SP1x64 pslist

在这里插入图片描述
有几个可疑进程:

  • notepad.exe
  • DumpIt.exe
  • explorer.exe

notepad.exe的内存数据dump出来

volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2952 -D ./

查找下相关字样,因为notepad使用的是16位little-endian存储文本,所以参数加上-e l才能成功编码

strings -e l ./2952.dmp | grep "flag{"

在这里插入图片描述
filescan直接找内存中的jpg文件

volatility -f easy_dump.img --profile=Win7SP1x64 filescan | grep ".jpg"

在这里插入图片描述
dump出来

volatility -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x00000000235c8770 -D ./

在这里插入图片描述
phos.jpg
在这里插入图片描述
看不出来什么,binwalk分析发现图片隐写了zip,使用foremost提取出来
在这里插入图片描述
解压得到一个message.img
在这里插入图片描述
ext2文件系统,直接挂载

hint.txt的内容是坐标数据,直接使用gnuplot绘制出来
在这里插入图片描述
绘制出来是一张二维码,扫描得到如下信息

Here is the vigenere key: aeolus, but i deleted the encrypted message。

在这里插入图片描述
得到一个维吉尼亚密码的key:aeolus,得接着寻找密文

/mnt的挂载目录中有隐藏文件夹,/mnt/.Trash-0/file/.message.swp找到vim的临时文件
在这里插入图片描述
直接cat或者使用vim恢复

vim -r message

在这里插入图片描述
得到密文

yispn!buwh_qcfd_ebo_mglzs

维吉尼亚解密即可
在这里插入图片描述

flag{yeeet!just_find_and_solve}
已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 撸撸猫 设计师:C马雯娟 返回首页