BUUCTF V&N2020 公开赛 Misc(复现)

Posted H3rmesk1t

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUUCTF V&N2020 公开赛 Misc(复现)相关的知识,希望对你有一定的参考价值。

BUUCTF V&N2020 公开赛 Misc(复现)

真·签到

CV大法题

Flag:flag{welcome_to_vn}

拉胯的三条命令

根据说明文档中的内容,可以发现流量包应该是和Nmap扫描有关

参考文章:https://www.hackingarticles.in/understanding-nmap-scan-wireshark/
找到相关端口号:3306、22、21、801、631

Flag:flag{21226318013306}

ML 第一步

nc连上后给70组数据,需要拟合成一个函数,然后解答给出的十组数据

Payload

import re
import numpy as np 
from pwn import *

def process(data):
    x_data = []
    y_data = []
    for i in data:
        z = i.split(',')
        x = float(z[0][2:])
        x_data.append(x)
        y = float(z[1][2:-2])
        y_data.append(y)
    return (np.array(x_data),np.array(y_data))

if __name__ == '__main__':
    p = remote('node4.buuoj.cn',29773)

    print(p.recvline())
    p.sendline('H3rmesk1t')

    for i in range(4):
        print(p.recvline())
    p.sendline()

    data = []
    for i in range(70):
        data.append(p.recvline())

    (x,y) = process(data)
    W = np.poly1d(np.polyfit(x,y,10))
    print(W)

    p.recvline()
    p.sendline()

    for i in range(10):
        information = p.recvline()
        xi = float(re.compile(b'When x=([0-9\\.]+),y=?').findall(information)[0])
        p.sendline(str(W(xi)))
        print(xi,W(xi))

    p.interactive()

内存取证

使用volatility,进行镜像分析

./volatility_2.6_lin64_standalone -f ~/Desktop/mem.raw imageinfo

发现了这个的系统是Win7SP1x86_23418,查看进程

./volatility_2.6_lin64_standalone -f ~/Desktop/mem.raw --profile=Win7SP1x86_23418 pslist

发现可疑进程

TrueCrypt.exe  一个磁盘软件
notepad.exe    万能的记事本
iexplore.exe   浏览器
mspaint.exe    画图
DumpIt.exe     内存读取工具

查看一下notepad.exe,HxD分析找到可疑链接(VOL文件下载,下载密码可以在iexplore历史记录中找到)

./volatility_2.6_lin64_standalone -f ~/Desktop/mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 -D ./


查看一下mspaint.exe,将其dump下来,用位移软件GIMP进行分析,得到一个密码:1YxfCQ6goYBD6Q

./volatility_2.6_lin64_standalone -f ~/Desktop/mem.raw --profile=Win7SP1x86_23418 memdump -p 2648 -D ./


查看TrueCrypt.exe

./volatility_2.6_lin64_standalone -f ~/Desktop/mem.raw --profile=Win7SP1x86_23418 memdump -p 3364 -D ./

使用Elcomsoft Forensic Disk Decryptor,得到uOjFdKu1jsbWI8N51jsbWI8N5

使用VeraCrypt对VOL进行挂载

用前面得到的密码1YxfCQ6goYBD6Q解压压缩包

Flag:RoarCTF{wm_D0uB1e_TC-cRypt}

Final Game

打开压缩包可以看到备注

Stupid mortal, you must enter the eighth circle of Hell to get the Tip of god。'=B;:?8\\<;:921Uv.3,1*No'&J*)iF~%$#zy?w|{zsr8pun4rTji/PONMLKJIHGFEDCBA@?>=<;:987SRQ3IHMFKDCBf)('&%$#"!~}|{zyxwvutsrqpon,+*)i'&%${zy?}|{t:xwp6Wsrkj0QPONMLKJIHGFEDCBA@VUTYXWVUTSRKoON0LKDCgfS

发现关键字the eighth circle of Hell,Google这个可以发现是和《神曲》有关,而且这个Malebolge和压缩包中的txt文件名也相同,同时Malebolge也是一种编程语言,在线编译网站

将压缩包备注中的看似乱码的字符串复制进去,而且要删去每行最后的换行,将其变为一行后再Run program,即可得到压缩包密码:%&^&#@()(*:";'/,,

解开压缩包得到hint

神说:要有ELF!!!
神说:要有WORD!!!
神说:要有NTFS!!!
神说:要有PDF!!!
神说:要有OSZ!!!

地狱 -- 炼狱 -- 天堂

用7z打开vmdk文件,寻找后发现一些可疑文件

Windows7_by_Lamber.vmdk\\Users\\lenovo\\Documents\\Purgatory.zip
Windows7_by_Lamber.vmdk\\Users\\lenovo\\Desktop\\Door.png
Windows7_by_Lamber.vmdk\\Users\\lenovo\\Music\\paradise.zip
Windows7_by_Lamber.vmdk\\Users\\lenovo\\Downloads\\proverbs.pdf

结合txt中hint的NTFS,执行dir /r,可以看到在Door.png这个文件后隐藏有exe文件

用工具NtfsStreamsEditor将其提取出来,得到Purgatory.exe

后续参考:http://www.ga1axy.top/index.php/archives/33/

以上是关于BUUCTF V&N2020 公开赛 Misc(复现)的主要内容,如果未能解决你的问题,请参考以下文章

BUUCTF--[V&N2020 公开赛]strangeCpp

[V&N2020 公开赛]CHECKIN

[V&N2020 公开赛]CHECKIN

[V&N2020 公开赛]CHECKIN

[V&N2020 公开赛] Web misc部分题解

BUUCTF V&N-misc内存取证