# 写在前面
> 你知道一败涂地后怎么办吗?
> 绝地反击。
总的来说,这次比赛大概确实是像主办方所声称的那样,对新手相对友好。
但是很可惜自己web的简单题“Weird Calculator”还是没能写出来,难题“eval me"涉及到一部分逆向的知识稍后再补。
最最最遗憾的就是内存取证已经只差最后一步了55555555
但自己想当然地认为加密的zip文件获得已经不太容易了,认为是伪加密/密码以另外的方式存储在内存镜像中,但最终**居然真就是爆破解啊**,在这里浪费了好多时间(虽然其他题也做不来)
## web-Weird Calculator
## web-Eval Me
## forensics-Easy & Peasy
### 知识点
- .raw文件 不止是相机原片格式,也是内存映像文件。可以对其进行取证
- volatility的使用
### 判断dump文件应用的配置信息
```bash
volatility -f Easy_and_Peasy.raw imageinfo
```
```bash
volatility -f Easy_and_Peasy.raw –profile=WinXPSP2x86 pslist
```
查看当前进程 注意到有notepad 试着看看当时写了什么东西进去~~
```bash
volatility notepad -f Easy_and_Peasy.raw –profile=WinXPSP2x86
```
获得后半部分flag *_bUt_1_LIKE_Em1n3m_M0r3_Haha_!!}*
```bash
volatility -f Easy_and_Peasy.raw –profile=WinXPSP2x86 filescan
```
filescan扫描文件 发现important.zip,
`0x00000000064f0ef8 1 0 R--r-- \Device\HarddiskVolume1\Documents and Settings\2PAC\My Documents\My Pictures\Important.zip`
怀疑剩余部分flag在里面,配合dumpfile
```bash
volatility -f Easy_and_Peasy.raw --profile=WinXPSP2x86 dumpfiles -Q 0x00000000064f0ef8 -D .
```
获得important.zip
**最坑的就是这里了,碰到加密的zip实在没办法还是一定要试试爆破**
获得密码后解压该zip得到前半部分bsides_delhi{I'm_th3_r3al_5LiM_Sh4dy_
最终提交的bsides_delhi{I'm_th3_r3al_5LiM_Sh4dy_bUt_1_LIKE_Em1n3m_M0r3Haha!!}
BSides Delhi CTF 2019 Writeup
