深育杯-Disk

難點(diǎn)

BitLocker 爆破

rdp 緩存

文件：

文件后綴為 vera，是 veracrypt 的加密容器，解密文件需要密碼

根據(jù)文件名在鍵盤上畫出的軌跡

小寫的 pvd 作為密碼掛載 veracrypt 到本地

查看 goooood 的文件頭可以知道文件使用 7z 進(jìn)行壓縮

解壓后發(fā)現(xiàn)是套娃，里面還有一個(gè) goood 文件，再次解壓后里面有兩個(gè)文件

其中 Microsoft reserved partition.img是個(gè)空文件，使用 HexEditXP 打開后里面什么也沒有

Basic data partition.img 使用 DiskGenius 打開后顯示使用 bitlocker 加密

使用 bitlocker2john 跑出 4 個(gè) hash，一般使用第一個(gè)或第二個(gè)，第三個(gè)和第四個(gè) hashcat 會(huì)識(shí)別不出來

bitlocker2john -i Basic\ data\ partition.img

再用 hashcat 爆破 bitlocker 密碼，hashcat --help 得到 bitlocker 對應(yīng)的 hash 類型

把之前 bitlocker2john 跑出的 hash 保存成 txt 文件，使用經(jīng)典的 rockyou 字典

.\hashcat.exe -m 22100 hash.txt rockyou.txt

得到密碼 abcd1234，DiskGenius 解鎖后在回收站內(nèi)找到一個(gè)體積較大的文件，提取后發(fā)現(xiàn)文件使用 7z 壓縮

解壓后得到一個(gè) 17.4MB 的 bcache24 文件，為 rdp 緩存文件

使用 bmc-tools 解密文件，得到 1115 張 bmp 圖片

一開始以為是拼圖，但由于量是在太大放棄

翻到一張文件的縮略圖，不出意外就是 flag

繼續(xù)往下翻找到了兩張疑似文件名的圖片

拼起來后再與上面的縮略圖作比較后確認(rèn)文件名與圖片上的內(nèi)容完全一致

嘗試提交提示 flag 錯(cuò)誤，base64 解碼后提交正確

深育杯-bridge

難點(diǎn)

lsb 隱寫

idat 數(shù)據(jù)塊

文件：

經(jīng)典開局一張圖，先用 zsteg 跑一遍，提示有 zlib stream，只不過文件頭從 789c 被改成了 879c

導(dǎo)出 zlib 解壓后得到一個(gè) rar 文件

提示可以去看看 flag1，可是還沒找到 flag1，所以先暫時(shí)放一邊

用 exiftool 查看圖片 exif 信息，發(fā)現(xiàn) Copyright 行有一串 hex 文本

解碼后為 dynamical-geometry 后面會(huì)用到

用 StegSolve 查看圖片，發(fā)現(xiàn) PNG 文件頭，前面有空數(shù)據(jù)導(dǎo)致 zsteg 沒識(shí)別成功

導(dǎo)出后手動(dòng)清理多余的空數(shù)據(jù)，得到一張圖

憑借經(jīng)驗(yàn)，應(yīng)該是把數(shù)據(jù)藏在某個(gè)通道了，按列查看顏色值，發(fā)現(xiàn)藍(lán)色通道出現(xiàn)經(jīng)典 504B0304，妥妥的 zip 文件頭，在 StegSolve 勾選藍(lán)色通道，Extract by Column 后導(dǎo)出文件

得到 zip 文件，解壓需要密碼

密碼為剛剛在 exif 中得到的 dynamical-geometry

解壓得到一個(gè) stl 文件，以前做過 3D ，所以一眼認(rèn)出了這是個(gè)模型文件

使用 Windows 自帶的 3D 查看器即可打開，得到一半的 flag

根據(jù)剛剛的提示，另一個(gè)壓縮包里的文件應(yīng)該也是 stl 文件

同樣用 3D 查看器打開，得到剩下的一半 flag

往期回顧

01

SQL注入繞過某Dog

02

Log4J?漏洞復(fù)現(xiàn)+漏洞靶場

03

指揮官杯-公共06-re writeup