星盟 2024 Misc 招新题 第二题
一个内存取证题,题目如下:
1小明在电脑上画了一幅图,这幅图的内容是什么,请提交其内容的md5值(32位小写)。
经典起手式imageinfo
image-20240723104201276
既然要求我们找图片,那就直接filescan出所有png,jpg,bmp,gif后缀名的文件
image-20240723104602194
下面那个admin.bmp没法dump下来,上面这个jpg图片可以
image-20240723104804628
dump下来是这么一张图
image-20240723104828121
在乱翻cmd记录时看到他执行过这样一个命令
image-20240723105020025
看来他对这个字符串进行过Atbash,那么cyberchef启动
image-20240723105218652
要求提交的是md5值(32位小写)
image-20240723105317395
星盟 2024 Misc 招新题 第一题
题目是给了一个pcapng文件,要求找出用户wangkai的明文密码(字典使用rockyou)。
打开pcapng文件,可以看到很多SMB2协议,看起来是几个用户在尝试登录账号,找到其中与wangkai有关的一条(可以用ntlmssp过滤,或者直接过滤smb2找起来也不麻烦)
image-20240723101622388
接下来就是构造hash文件,先点开查看底下SMB2协议的报文
image-20240723102229716
找到其中的相关信息,拼凑成如下格式:
1username::domain:ntlmv2_response.chall:ntproofstr:不包含ntproofstr的ntlmv2_response值
命名为abc.hash(名字随意,后缀是.hash即可),得到hash文件
但是这样拼凑比较复杂,而且这里的NTLMv2
Response显示truncated,说明还得去其他地方找到剩余部分,比较麻烦。现有一自动化提取NTLMv2的工具,我们可以直接一把而梭之。
image-2024072310291619 ...
docker安装使用记录(极简版)
用到哪里写到哪里吧,随着使用的深入以后还会更新这篇文章
参考文章传送门:
文章一,文章二,文章三,文章四
Docker简介
docker介绍
Docker是一个可以用来装web应用的容器。Docker这个词的本义是码头工人,主要工作就是搬运那些“集装箱”,将它们搬运到相应的目的地去。Docker拥有着一个“超级码头”,或者说一个巨大的物流中心,我们可以把我们的“集装箱”push到这个超级码头去,以便我们在另一个码头时可以将它直接pull过来,而不是就地复刻一个曾经我们拥有过的集装箱。
有些文章中会拿docker和虚拟机作对比,深入而又透彻,什么使用了LXC技术,不需要HyperV转换之类的,这里我就不再赘述了,总结来说就是docker容器更为轻量,运行起来更为快速。
镜像
镜像,英文image,也就是上面我们提到的”集装箱“,我们的那个”超级码头“也就是镜像源。镜像的联合文件系统我也不再在这里赘述,感兴趣可以自行跳入上面的传送门去了解。
容器
容器,英文名container,可以理解为镜像的实例化。镜像是不可编辑的,容器是可以编辑的。我们可以用一个镜像生成多 ...
LitCTF2024 Writeup
Writeup点我
jqctf2024初赛 Misc
这是一次X1cT34m前辈们的狂欢(竟然直接给干到第一了!!?),我只是做个misc给前辈们助助兴。。。
flag_video_version
屏幕截图 2024-05-26
202344.png
从sdp.txt中得知视频通过RTP传输,编码方式为H264
屏幕截图 2024-05-26
202557.png
wireshark中Decode As RTP
屏幕截图 2024-05-26
202921.png
从RTP流分析中可以看出序列存在问题,将每一个分组对应的序列保存进2.txt
屏幕截图 2024-05-26
203245.png
追踪UDP流,将传输的内容保存进1.txt
写脚本将这些数据包按照正常的顺序拼接起来,最终保存为data.264
1234567891011121314151617f1=open("1.txt","r")f2=open("2.txt","r")f3=open("3.txt ...
CISCN2024 Writeup
初赛Writeup点我
Additional Statement:
这是一次由四个大一新生组成的X2cT34m的奇妙冒险,
我参与做了crypto和一部分的misc
华东北赛区赛Writeup点我
Additional Statement:
第一次打线下,AWDP模式。
太菜了,面对题目一脸懵(T0T)
但是听说是可以通过patch包传个马上去再攻击的(??!),比赛时我们队虽然想到了但是没去试,还是打保守了。。。
XYCTF2024 Writeup
Writeup点我
Additional Statement:
Cooperated with f4k3r.
X1ct34m 2024 Misc 招新题 CrazyC2
本来在CTF中应该都是基操,但是因为本人太菜,弄了好几天才出。。。(T0T)
题目
image-20240402165312088
先是流量分析,看到了很多TCP和HTTP流,追踪大概看一下
image-20240402164740735
看起来传输了很多加密的信息,先把它们全都手动整理出来
image-20240402164916818
直接解base64解不出,但是POST传参时看到了一个random_key,猜是异或用的,果然
image-20240402165223751
看到用curl从攻击机读取了一个文件,我也试着读了一下,发现可以从攻击机中读到任意文件,于是读到了第一个flag
image-20240402165620146
从读一些不存在的文件产生的报错中可以看到python
flask源码,读下来进行审计
image-20240402165819762
1234567891011121314151617181920212223242526272829303132 ...
X1ct34m 2024 Misc 招新题 Wrong Direction!
这次不用volatility2了,试试volatility3
filescan一下,在桌面上看到个叫成绩单的表格
image-20240328132138952
把它dump下来
image-20240328132551305
在这张表格的第275行发现了一串powershell命令
image-20240328194801457
那么就去查看一下powershell的evtx日志文件。powershell的日志文件主要有PowerShell.evtx,Powershell
Operational.evtx,Powershell Admin.evtx三种,这里在Powershell
Operational.evtx中可以找到执行的命令记录
image-20240328200431086
image-20240328195639155
image-20240328195922747
可以看到有两串Scriptblock文本,把它们合起来
image-2024032820011833 ...
NKCTF2024 Writeup
Writeup点我
