St4rr's Blog

一个内存取证题，题目如下： 1小明在电脑上画了一幅图，这幅图的内容是什么，请提交其内容的md5值（32位小写）。 经典起手式imageinfo image-20240723104201276 既然要求我们找图片，那就直接filescan出所有png，jpg，bmp，gif后缀名的文件 image-20240723104602194 下面那个admin.bmp没法dump下来，上面这个jpg图片可以 image-20240723104804628 dump下来是这么一张图 image-20240723104828121 在乱翻cmd记录时看到他执行过这样一个命令 image-20240723105020025 看来他对这个字符串进行过Atbash，那么cyberchef启动 image-20240723105218652 要求提交的是md5值（32位小写） image-20240723105317395

用到哪里写到哪里吧，随着使用的深入以后还会更新这篇文章 参考文章传送门： 文章一，文章二，文章三，文章四 Docker简介 docker介绍 Docker是一个可以用来装web应用的容器。Docker这个词的本义是码头工人，主要工作就是搬运那些“集装箱”，将它们搬运到相应的目的地去。Docker拥有着一个“超级码头”，或者说一个巨大的物流中心，我们可以把我们的“集装箱”push到这个超级码头去，以便我们在另一个码头时可以将它直接pull过来，而不是就地复刻一个曾经我们拥有过的集装箱。 有些文章中会拿docker和虚拟机作对比，深入而又透彻，什么使用了LXC技术，不需要HyperV转换之类的，这里我就不再赘述了，总结来说就是docker容器更为轻量，运行起来更为快速。 镜像 镜像，英文image，也就是上面我们提到的”集装箱“，我们的那个”超级码头“也就是镜像源。镜像的联合文件系统我也不再在这里赘述，感兴趣可以自行跳入上面的传送门去了解。 容器 容器，英文名container，可以理解为镜像的实例化。镜像是不可编辑的，容器是可以编辑的。我们可以用一个镜像生成多 ...

Writeup点我

这是一次X1cT34m前辈们的狂欢（竟然直接给干到第一了！！？），我只是做个misc给前辈们助助兴。。。 flag_video_version 屏幕截图 2024-05-26 202344.png 从sdp.txt中得知视频通过RTP传输，编码方式为H264 屏幕截图 2024-05-26 202557.png wireshark中Decode As RTP 屏幕截图 2024-05-26 202921.png 从RTP流分析中可以看出序列存在问题，将每一个分组对应的序列保存进2.txt 屏幕截图 2024-05-26 203245.png 追踪UDP流，将传输的内容保存进1.txt 写脚本将这些数据包按照正常的顺序拼接起来，最终保存为data.264 1234567891011121314151617f1=open("1.txt","r")f2=open("2.txt","r")f3=open("3.txt ...

初赛Writeup点我 Additional Statement: 这是一次由四个大一新生组成的X2cT34m的奇妙冒险， 我参与做了crypto和一部分的misc 华东北赛区赛Writeup点我 Additional Statement: 第一次打线下，AWDP模式。 太菜了，面对题目一脸懵（T0T） 但是听说是可以通过patch包传个马上去再攻击的（？？！），比赛时我们队虽然想到了但是没去试，还是打保守了。。。

Writeup点我 Additional Statement: Cooperated with f4k3r.

本来在CTF中应该都是基操，但是因为本人太菜，弄了好几天才出。。。（T0T） 题目 image-20240402165312088 先是流量分析，看到了很多TCP和HTTP流，追踪大概看一下 image-20240402164740735 看起来传输了很多加密的信息，先把它们全都手动整理出来 image-20240402164916818 直接解base64解不出，但是POST传参时看到了一个random_key，猜是异或用的，果然 image-20240402165223751 看到用curl从攻击机读取了一个文件，我也试着读了一下，发现可以从攻击机中读到任意文件，于是读到了第一个flag image-20240402165620146 从读一些不存在的文件产生的报错中可以看到python flask源码，读下来进行审计 image-20240402165819762 1234567891011121314151617181920212223242526272829303132 ...

这次不用volatility2了，试试volatility3 filescan一下，在桌面上看到个叫成绩单的表格 image-20240328132138952 把它dump下来 image-20240328132551305 在这张表格的第275行发现了一串powershell命令 image-20240328194801457 那么就去查看一下powershell的evtx日志文件。powershell的日志文件主要有PowerShell.evtx，Powershell Operational.evtx，Powershell Admin.evtx三种，这里在Powershell Operational.evtx中可以找到执行的命令记录 image-20240328200431086 image-20240328195639155 image-20240328195922747 可以看到有两串Scriptblock文本，把它们合起来 image-2024032820011833 ...

Writeup点我

参考了这篇文章 简述 DES（Data Encryption Standard）是一种对称加密算法，它将64位的明文分成64位的块，并使用64位的密钥来进行加密操作。虽然DES本身只能处理64位的数据块，但是可以通过分组密码模式（如ECB、CBC、CFB、OFB、CTR等）来加密更长的数据。 初始置换 输入明文M（64位），根据下表进行初始置换，得到IP 1234567858,50,42,34,26,18,10,2,60,52,44,36,28,20,12,4,62,54,46,38,30,22,14,6,64,56,48,40,32,24,16,8,57,49,41,33,25,17, 9,1,59,51,43,35,27,19,11,3,61,53,45,37,29,21,13,5,63,55,47,39,31,23,15,7, 如将M的第58位填入IP的第一位。 然后将IP平分为两段，L0和R0 生成子密钥 一图以概之 首先，一开始输入的64位key按照下表进行转换，生成56位密钥（置换选择1） 123456757,49,41,33,25,17,9,1 ...