「配枪朱丽叶。」

RootのCTF学习笔记。

V&N2020 公开赛-MISC部分学习笔记

[V&N2020 公开赛]拉胯的三条命令

在参加网络安全大赛第二届世界巡回赛新加坡站一场与SP战队的比赛时,作为K&K战队主防手的你使用经典的“三条命令”检查端口封闭状况。可是这次比赛平台没有回显,你能查出来有哪些端口是开放的嘛?
请将开放端口按由小到大顺序写入flag中 如:开放1、22、234端口,flag{122234}

正常做法就是找那些有正常返回的(不是红色的),看一下端口。
这道题学会了一个新知识点,参考:
15h3na0.xyz

tcpdump -n -r nmapll.pcapng 'tcp[13] = 18' | awk '{print $3}'| sort -u
SYN, ACK报文, tcp[13] = 18
每行第三个字段,awk '{print $3}'
去掉重复项,sort -u

https://s2.ax1x.com/2020/03/08/3vDZ1U.png

[V&N2020 公开赛]内存取证

题目下载

volatility imageinfo -f mem.raw

https://s2.ax1x.com/2020/03/08/3vyWHH.png

volatility psscan -f mem.raw --profile=Win7SP1x86

已经提示了说记事本(notepad.exe,pid是3352),先看一下:

volatility -f 文件名 --profile=Win7SP1x86 memdump -p 3552 -D ./

对3552.dmp进行binwalk和foremost,提取不出来啥有用信息。。
参考夏风师傅的博客学到了一个新知识点T T(日常学习到新知识点)
editbox插件可以显示有关编辑控件的信息。

volatility editbox -f mem.raw  --profile=Win7SP1x86

https://s2.ax1x.com/2020/03/08/3vR4pR.png
访问百度网盘这个连接,得到一个名字为“VOL”的文件,和TrueCrypt有关联。
https://s2.ax1x.com/2020/03/08/3v5ls1.png
但是解锁它是需要密码的,继续在volatility中寻找TC容器的密码。
查看画图(mspaint.exe,PID为2648):

volatility -f mem.raw --profile=Win7SP1x86 memdump -p 2648 -D ./

把提取到的2648.dmp重命名为2648.data,用gimp打开,下面这部分是最难的。。不断调节宽高来位移来得到正确的图片,再次感谢夏风师傅:
https://s2.ax1x.com/2020/03/08/3vbswn.png

1YxfCQ6goYBD6Q

做到这里。。以为这个就是TC的密码,结果并不是。
留意到psscan列出来的进程列表里还有一个TrueCrypt.exe(pid为3364),给它也dump出来:

volatility -f mem.raw --profile=Win7SP1x86 memdump -p 3364 -D ./

下载Elcomsoft Forensic Disk Decryptor CracKed By Hmily
上面填入VOL下面填入3364.dmp进行破解:
https://s2.ax1x.com/2020/03/08/3vvFsO.png
下一步点击Mount Disk,挂载到本地。得到字符串:

uOjFdKu1jsbWI8N51jsbWI8N5

再继续用VeraCrypt挂载,密码填入上面这步得来的:
https://s2.ax1x.com/2020/03/08/3vvrmF.png
里面有一个加密的fffflag.zip,密码填入图片那步的1YxfCQ6goYBD6Q,得到flag。