2023西湖论剑wirteup

文章目录

2023西湖论剑wirteup
- 机你太美
- take_the_zip_easy
- mp3
- Isolated Machine Memory Analysis

前言：总之每天就是很困，每天都睡不醒，冬天困，夏天也困，没有不困的时候好想睡觉，开始写西湖论剑的复盘，希望以后多多复盘，多多写文章吧~~~（还是好困

春困秋乏夏打盹.png

顺便，给大家推荐田震版本的若思念便思念，好听！！！！！！！！！！！！！！

顺便，腊梅好像开了，好香

机你太美

题目描述：坤坤的手机里面，隐藏着什么秘密呢链接：https://pan.baidu.com/s/1iWy1p9uDV4_15yCQ6jJMgw?pwd=7dfk 提取码：7dfk

拿到附件发现是夜神模拟器的镜像文件，直接导进去，发现版本要求安卓9，新建一个，导进去，发现有pin码
直接百度搜索，夜神模拟器忘记pin码怎么办，参考文章如下如何清除夜神模拟器的Pin密码 - 心默默言 - 博客园 (cnblogs.com)
进入adbshell,删掉以下文件，本次附件只包含db文件，删掉这个文件即可

rm /data/system/locksettings.db
rm /data/system/locksettings.db-shm
rm /data/system/locksettings.db-wal
rm /data/system/gatekeeper.password.key
rm /data/system/gatekeeper.pattern.key

接着就可以进入到模拟器里面，可以看到一个srked软件，点进去可以看到一个聊天记录

简单截一个部分做个例子，可以看到聊天记录中他们交流了很多zip文件，根据文件大小锁定72f3这个文件，里面含有真flag，

第一种保存方法

长按保存在download文件即可保存到本地，如下即可找到zip，另外两张图片也是如此保存

第二种保存方法

可以继续使用adbshell
首先搜索文件find / -name *.*
接着在夜神bin的目录下重新开一个cmd，
adb pull 模拟器路径电脑路径

接着我们继续分析zip和这两个图片，zip需要密码，看起来不能爆破，两张图片分别是一张斑马线.jpg，一张网吧.png

jpg的exif里面发现了XOR DASCTF2022，异或这个东西，不懂要异或什么，先放一边

在png里的阿尔法2通道发现隐藏信息，可以先放一边，猜测需要写脚本提出来，但希望不写脚本也能提出来（x

提取的话直接如下，保存为bin文件

搜索非ff的部分

hex转bin,删掉前面冗余的6个，转ascii即可得到一串神秘的口令，e01544a9333ef62a3aa27357eb52ea8a

是zip的压缩包的密码，解压我们得到的zip

拿到里面的flag文件，发现是乱码，联系上一张jpg图片，直接整改文件异或DASCTF2022，

over

题目小记：

唔以选手的角度来说这个聊天记录和文件的联系不是很紧密，我可以不通过导入模拟器也可以拿到附件，所有的线索都可以拿到，所以感觉聊天记录的作用没有发挥很大，且聊天记录里“我”在问路：网吧的位置，但是“我”发的图片正好是网吧的门口，而对面的人回复的图片是斑马线…感觉是两张图片发反了

再次over

take_the_zip_easy

附件里面是一个加密的压缩包，且密码不可被爆破，里面有一个pcapng和一个zip，

那么接下来密码不可以爆破是真密码，我们如何获得里面的内容呢？

首先我们来确认zip的压缩算法，使用7z可以清晰的看到两个文件的压缩算法是不一样的，如图：

那么这个算法很难不让人想到明文攻击

ZIP已知明文攻击深入利用 - FreeBuf网络安全行业门户

加密算法的要求如下

明文攻击的要求如下：

至少已知明文的12个字节及偏移，其中至少8字节需要连续。
明文对应的文件加密方式为ZipCrypto Store

**那为什么deflate也可以呢？**如下

因此，我们直接使用bkcrack明文攻击即可，

首先是保存一个连续明文的文件

└─$ echo 646173666C6F772E706361706E67 |xxd -r -ps > zipfile

攻击命令为

└─$ time bkcrack -C zipeasy.zip -c dasflow.zip -p zipfile -o 30 -x 0 504b0304

Keys: 2b7d78f3 0ebcabad a069728c

注意此时的zipfile里的内容为dasflow.zip里的内容，我们是猜测在里面的压缩包里还有一个与外侧相同的压缩包，因此，使用的连续明文为dasflow.pcapng

mp3

拿到附件为mp3，首先看看文件格式，里面有一个png的图片

直接zsteg梭哈，提示在b1,r,lsb,xy … file: Zip archive data, at least v2.0 to extract, compression method=deflate

表明在这里有一个zip文件，但是使用zsteg的导出命令报错，使用stegsolve直接保存为zip

发现zip有密码，看起来不能爆破，想到mp3还有一个经典隐写：MP3stego

拿到密码，解压后发现里面如下

2lO,.j2lL000iZZ2[2222iWP,.ZQQX,2.[002iZZ2[2020iWP,.ZQQX,2.[020iZZ2[2022iWLNZQQX,2.[2202iW2,2.ZQQX,2.[022iZZ2[2220iWPQQZQQX,2.[200iZZ2[202iZZ2[2200iWLNZQQX,2.[220iZZ2[222iZZ2[2000iZZ2[2002iZZ2Nj2]20lW2]20l2ZQQX,2]202.ZW2]02l2]20,2]002.XZW2]22lW2]2ZQQX,2]002.XZWWP2XZQQX,2]022.ZW2]00l2]20,2]220.XZW2]2lWPQQZQQX,2]002.XZW2]0lWPQQZQQX,2]020.XZ2]20,2]202.Z2]00Z2]02Z2]2j2]22l2]2ZWPQQZQQX,2]022.Z2]00Z2]0Z2]2Z2]22j2]2lW2]000X,2]20.,2]20.j2]2W2]2W2]22ZQ-QQZ2]2020ZWP,.ZQQX,2]020.Z2]2220ZQ--QZ2]002Z2]220Z2]020Z2]00ZQW---Q--QZ2]002Z2]000Z2]200ZQ--QZ2]002Z2]000Z2]002ZQ--QZ2]002Z2]020Z2]022ZQ--QZ2]002Z2]000Z2]022ZQ--QZ2]002Z2]020Z2]200ZQ--QZ2]002Z2]000Z2]220ZQLQZ2]2222Z2]2000Z2]000Z2]2002Z2]222Z2]020Z2]202Z2]222Z2]2202Z2]220Z2]2002Z2]2002Z2]2202Z2]222Z2]2222Z2]2202Z2]2022Z2]2020Z2]222Z2]2220Z2]2002Z2]222Z2]2020Z2]002Z2]202Z2]2200Z2]200Z2]2222Z2]2002Z2]200Z2]2022Z2]200ZQN---Q--QZ2]200Z2]000ZQXjQZQ-QQXWXXWXj

联系文档名为47，猜测为rot47

看起来像是js代码，直接控制台运行即可，如下

Isolated Machine Memory Analysis

windows取证，第一次遇见，主要点在于外接显卡&e=2的RSA

题目描述

张三，现用名叫Charlie，在一家外企工作，负责flag加密技术的研究。为了避免flag泄露，这家企业制定了严格的安全策略，严禁flag离开研发服务器，登录服务器必须经过跳板机。张三使用的跳板机是一台虚拟机，虽然被全盘加密没法提取，但好消息是至少还没关机。免责声明：本题涉及的人名、单位名、产品名、域名及IP地址等均为虚构，如有雷同纯属巧合。注：本题模拟真实研发环境，解题有关的信息不会出现在人名、域名或IP地址等不合常理的地方。

hint

1.在张三的电脑上发现一张截图，看起来应该是配置跳板机时无意留下的。https://c.img.dasctf.com/images/2022117/1667786365444-ba60f1f9-54fb-4704-8ff8-896647b30774.png

2.为什么这个Windows内存镜像是ELF格式？

3.https://github.com/volatilityfoundation/volatility/wiki/Virtual-Box-Core-Dump#meta-data

首先我们先来常规的取证一下

先看版本，再看进程

这些进程大部分都是系统进程，有一个mstsc.exe这个远程桌面的

我们来dump下进程看看

python2 vol.py -f CharlieBrown-PC.elf --profile=Win7SP1x64 memdump -p 2840 -D .

图片提示我们东西不在内存里，尝试查找其他的地方

还有两个奇怪的进程，一个剪贴板进程，一个xxx，不懂，搜了很多资料也没明白
先看剪贴板进程

python2 vol.py -f xx.elf --profile=Win7SP1x64 clipboard

发现有一个公钥
使用-v参数显示全部，如下：

看起来像是一个RSA的公钥

0xfffff900c1df7984  2d 00 2d 00 2d 00 2d 00 2d 00 42 00 45 00 47 00   -.-.-.-.-.B.E.G.
0xfffff900c1df7994  49 00 4e 00 20 00 50 00 55 00 42 00 4c 00 49 00   I.N...P.U.B.L.I.
0xfffff900c1df79a4  43 00 20 00 4b 00 45 00 59 00 2d 00 2d 00 2d 00   C...K.E.Y.-.-.-.
0xfffff900c1df79b4  2d 00 2d 00 0d 00 0a 00 4d 00 46 00 6f 00 77 00   -.-.....M.F.o.w.
0xfffff900c1df79c4  44 00 51 00 59 00 4a 00 4b 00 6f 00 5a 00 49 00   D.Q.Y.J.K.o.Z.I.
0xfffff900c1df79d4  68 00 76 00 63 00 4e 00 41 00 51 00 45 00 42 00   h.v.c.N.A.Q.E.B.
0xfffff900c1df79e4  42 00 51 00 41 00 44 00 53 00 51 00 41 00 77 00   B.Q.A.D.S.Q.A.w.
0xfffff900c1df79f4  52 00 67 00 4a 00 42 00 41 00 49 00 45 00 5a 00   R.g.J.B.A.I.E.Z.
0xfffff900c1df7a04  54 00 78 00 78 00 6c 00 65 00 37 00 2b 00 35 00   T.x.x.l.e.7.+.5.
0xfffff900c1df7a14  72 00 79 00 77 00 43 00 35 00 62 00 79 00 49 00   r.y.w.C.5.b.y.I.
0xfffff900c1df7a24  75 00 42 00 6b 00 50 00 68 00 77 00 6b 00 79 00   u.B.k.P.h.w.k.y.
0xfffff900c1df7a34  76 00 35 00 37 00 52 00 0d 00 0a 00 37 00 35 00   v.5.7.R.....7.5.
0xfffff900c1df7a44  36 00 44 00 55 00 43 00 44 00 39 00 69 00 32 00   6.D.U.C.D.9.i.2.
0xfffff900c1df7a54  4d 00 57 00 59 00 79 00 55 00 73 00 30 00 41 00   M.W.Y.y.U.s.0.A.
0xfffff900c1df7a64  63 00 63 00 36 00 4a 00 5a 00 77 00 79 00 71 00   c.c.6.J.Z.w.y.q.
0xfffff900c1df7a74  56 00 4f 00 6d 00 52 00 37 00 34 00 75 00 4d 00   V.O.m.R.7.4.u.M.
0xfffff900c1df7a84  76 00 72 00 65 00 49 00 32 00 73 00 6c 00 6c 00   v.r.e.I.2.s.l.l.
0xfffff900c1df7a94  65 00 34 00 47 00 79 00 37 00 48 00 6c 00 36 00   e.4.G.y.7.H.l.6.
0xfffff900c1df7aa4  50 00 63 00 58 00 78 00 45 00 43 00 41 00 51 00   P.c.X.x.E.C.A.Q.
0xfffff900c1df7ab4  49 00 3d 00 0d 00 0a 00 2d 00 2d 00 2d 00 2d 00   I.=.....-.-.-.-.
0xfffff900c1df7ac4  2d 00 45 00 4e 00 44 00 20 00 50 00 55 00 42 00   -.E.N.D...P.U.B.
0xfffff900c1df7ad4  4c 00 49 00 43 00 20 00 4b 00 45 00 59 00 2d 00   L.I.C...K.E.Y.-.
0xfffff900c1df7ae4  2d 00 2d 00 2d 00 2d 00 00 00                     -.-.-.-...

-----BEGIN PUBLIC KEY-----
MFowDQYJKoZIhvcNAQEBBQADSQAwRgJBAIEZTxxle7+5rywC5byIuBkPhwkyv57R
756DUCD9i2MWYyUs0Acc6JZwyqVOmR74uMvreI2slle4Gy7Hl6PcXxECAQI=
-----END PUBLIC KEY-----

我们接着来看hint

这个图片不仅提示了我们显示的比例1440*900

还显示了virtualbox，搜索一下即可得到信息

Virtual Box Core Dump · volatilityfoundation/volatility Wiki · GitHub

这也跟题目提示的第二个hint相一致，

重点在下面这个部分

第一列的数据代表文件偏移，第二个是内存偏移地址，根据这个结合文档可以判断我们要的数据是哪一行，第三列数据是文件的大小

我们可以配合010爆搜发现这部分的数据正好是一张图片

复制或者使用dd命令来导出

然后使用gimp来查看图片即可，切换通道为rgb 阿尔法通道

重点在红框里面的红字

根据脚本可以看出是使用了rsa加密了flag

红字很明显是密文，使用了公钥加密

此时联想到之前的公钥，使用在线的工具解出e和n

6761456110411637567688581808417563265129495172728559363264959694161676396727177452588827048488546653264235848263182009106217734439508352645687684489830161

已经获得了e和n

使用rabin即可

from gmpy2 import *
import libnum
import hashlibc = 451471540081589674653974518512438308733093273213393434162105049845933212224386755831134427109878720380821421287108607669893882611307516611482749725279433
p = 79346858353882639199177956883793426898254263343390015030885061293456810296567
q = 85213910804835068776008762162103815863113854646656693711835550035527059235383
#e = 2
n = p*qinv_p = invert(p, q)
inv_q = invert(q, p)
mp = pow(c, (p + 1) // 4, p)
mq = pow(c, (q + 1) // 4, q)
a = (inv_p * p * mq + inv_q * q * mp) % n
b = n - int(a)
c = (inv_p * p * mq - inv_q * q * mp) % n
d = n - int(c)
aa=[a,b,c,d]
for i in aa:#print(i)print(libnum.n2s(int(i)))

b’DASCTF{It5_dIr3c7Ly_c0rR3l4T3d_t0_7He_d1M35}’

over

题目小记

感觉这个题目的题目描述还是挺重要的，跳板机→远程桌面，虚拟机→virtualbox，没关机内存还有

还有hint提示为什么这个取证文件是elf的格式？

这也是跟vbox有关系

所有的线索都指向了vbox，甚至最后一个提示直接给出了参考文档，找到了位置，我们可以联合010爆搜确认我们得到数据到底是什么

overover，完结撒花★,°:.☆(￣▽￣)/$:.°★ 。