BSides Delhi CTF 2019 Writeup

写在前面

你知道一败涂地后怎么办吗?
绝地反击。

总的来说,这次比赛大概确实是像主办方所声称的那样,对新手相对友好。
但是很可惜自己web的简单题“Weird Calculator”还是没能写出来,难题“eval me"涉及到一部分逆向的知识稍后再补。
最最最遗憾的就是内存取证已经只差最后一步了55555555
但自己想当然地认为加密的zip文件获得已经不太容易了,认为是伪加密/密码以另外的方式存储在内存镜像中,但最终居然真就是爆破解啊,在这里浪费了好多时间(虽然其他题也做不来)

web-Weird Calculator

web-Eval Me

forensics-Easy & Peasy

知识点

  • .raw文件 不止是相机原片格式,也是内存映像文件。可以对其进行取证
  • volatility的使用

判断dump文件应用的配置信息

volatility -f Easy_and_Peasy.raw imageinfo

volatility  -f Easy_and_Peasy.raw –profile=WinXPSP2x86 pslist

查看当前进程 注意到有notepad 试着看看当时写了什么东西进去~~

volatility notepad -f Easy_and_Peasy.raw –profile=WinXPSP2x86 

获得后半部分flag bUt_1_LIKE_Em1n3m_M0r3_Haha!!}

volatility -f Easy_and_Peasy.raw –profile=WinXPSP2x86 filescan

filescan扫描文件 发现important.zip,
0x00000000064f0ef8 1 0 R--r-- \Device\HarddiskVolume1\Documents and Settings\2PAC\My Documents\My Pictures\Important.zip
怀疑剩余部分flag在里面,配合dumpfile

volatility -f Easy_and_Peasy.raw --profile=WinXPSP2x86 dumpfiles -Q 0x00000000064f0ef8 -D .

获得important.zip
最坑的就是这里了,碰到加密的zip实在没办法还是一定要试试爆破

获得密码后解压该zip得到前半部分bsides_delhi{I'm_th3_r3al_5LiM_Sh4dy_
最终提交的bsides_delhi{I'm_th3_r3al_5LiM_Sh4dy_bUt_1_LIKE_Em1n3m_M0r3Haha!!}