BUUCTF V&N2020 公开赛 Misc（复现）

Posted 2021-09-04 H3rmesk1t

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了BUUCTF V&N2020 公开赛 Misc（复现）相关的知识，希望对你有一定的参考价值。

BUUCTF V&N2020 公开赛 Misc（复现）

真·签到
拉胯的三条命令
ML 第一步
内存取证
Final Game

真·签到

CV大法题

Flag：flag{welcome_to_vn}

拉胯的三条命令

根据说明文档中的内容，可以发现流量包应该是和Nmap扫描有关

参考文章：https://www.hackingarticles.in/understanding-nmap-scan-wireshark/
找到相关端口号：3306、22、21、801、631

Flag：flag{21226318013306}

ML 第一步

nc连上后给70组数据，需要拟合成一个函数，然后解答给出的十组数据

Payload

import re
import numpy as np 
from pwn import *

def process(data):
    x_data = []
    y_data = []
    for i in data:
        z = i.split(',')
        x = float(z[0][2:])
        x_data.append(x)
        y = float(z[1][2:-2])
        y_data.append(y)
    return (np.array(x_data),np.array(y_data))

if __name__ == '__main__':
    p = remote('node4.buuoj.cn',29773)

    print(p.recvline())
    p.sendline('H3rmesk1t')

    for i in range(4):
        print(p.recvline())
    p.sendline()

    data = []
    for i in range(70):
        data.append(p.recvline())

    (x,y) = process(data)
    W = np.poly1d(np.polyfit(x,y,10))
    print(W)

    p.recvline()
    p.sendline()

    for i in range(10):
        information = p.recvline()
        xi = float(re.compile(b'When x=([0-9\\.]+),y=?').findall(information)[0])
        p.sendline(str(W(xi)))
        print(xi,W(xi))

    p.interactive()

内存取证

使用volatility，进行镜像分析

./volatility_2.6_lin64_standalone -f ~/Desktop/mem.raw imageinfo

发现了这个的系统是Win7SP1x86_23418，查看进程

./volatility_2.6_lin64_standalone -f ~/Desktop/mem.raw --profile=Win7SP1x86_23418 pslist

发现可疑进程

TrueCrypt.exe  一个磁盘软件
notepad.exe    万能的记事本
iexplore.exe   浏览器
mspaint.exe    画图
DumpIt.exe     内存读取工具

查看一下notepad.exe，HxD分析找到可疑链接（VOL文件下载，下载密码可以在iexplore历史记录中找到）

./volatility_2.6_lin64_standalone -f ~/Desktop/mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 -D ./

查看一下mspaint.exe，将其dump下来，用位移软件GIMP进行分析，得到一个密码：1YxfCQ6goYBD6Q

./volatility_2.6_lin64_standalone -f ~/Desktop/mem.raw --profile=Win7SP1x86_23418 memdump -p 2648 -D ./

查看TrueCrypt.exe

./volatility_2.6_lin64_standalone -f ~/Desktop/mem.raw --profile=Win7SP1x86_23418 memdump -p 3364 -D ./

使用Elcomsoft Forensic Disk Decryptor，得到uOjFdKu1jsbWI8N51jsbWI8N5

使用VeraCrypt对VOL进行挂载

用前面得到的密码1YxfCQ6goYBD6Q解压压缩包

Flag：RoarCTF{wm_D0uB1e_TC-cRypt}

Final Game

打开压缩包可以看到备注

Stupid mortal, you must enter the eighth circle of Hell to get the Tip of god。'=B;:?8\\<;:921Uv.3,1*No'&J*)iF~%$#zy?w|{zsr8pun4rTji/PONMLKJIHGFEDCBA@?>=<;:987SRQ3IHMFKDCBf)('&%$#"!~}|{zyxwvutsrqpon,+*)i'&%${zy?}|{t:xwp6Wsrkj0QPONMLKJIHGFEDCBA@VUTYXWVUTSRKoON0LKDCgfS

发现关键字the eighth circle of Hell，Google这个可以发现是和《神曲》有关，而且这个Malebolge和压缩包中的txt文件名也相同，同时Malebolge也是一种编程语言，在线编译网站

将压缩包备注中的看似乱码的字符串复制进去，而且要删去每行最后的换行，将其变为一行后再Run program，即可得到压缩包密码：%&^&#@()(*:";'/,,

解开压缩包得到hint

神说：要有ELF！！！
神说：要有WORD！！！
神说：要有NTFS！！！
神说：要有PDF！！！
神说：要有OSZ！！！

地狱 -- 炼狱 -- 天堂

用7z打开vmdk文件，寻找后发现一些可疑文件

Windows7_by_Lamber.vmdk\\Users\\lenovo\\Documents\\Purgatory.zip
Windows7_by_Lamber.vmdk\\Users\\lenovo\\Desktop\\Door.png
Windows7_by_Lamber.vmdk\\Users\\lenovo\\Music\\paradise.zip
Windows7_by_Lamber.vmdk\\Users\\lenovo\\Downloads\\proverbs.pdf

结合txt中hint的NTFS，执行dir /r，可以看到在Door.png这个文件后隐藏有exe文件

用工具NtfsStreamsEditor将其提取出来，得到Purgatory.exe

后续参考：http://www.ga1axy.top/index.php/archives/33/

以上是关于BUUCTF V&N2020 公开赛 Misc（复现）的主要内容，如果未能解决你的问题，请参考以下文章

BUUCTF--[V&N2020 公开赛]strangeCpp

[V&N2020 公开赛]CHECKIN

[V&N2020 公开赛] Web misc部分题解

BUUCTF V&N-misc内存取证