携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第6天，点击查看活动详情

[RoarCTF2019]forensic

内存取证的题目，先看看系统信息

volatility -f ./mem.raw imageinfo

我们直接看看有没有啥图片文件

volatility -f ./mem.raw --profile=Win7SP1x86 filescan |grep -E 'png|jpg|gif|zip|rar|7z|pdf|txt|doc'

会看到一个PNG图片，将他提出来看看

volatility -f ./mem.raw --profile=Win7SP1x86 dumpfiles -Q 0x000000001efb29f8 --dump-dir /root/XINO/

发现密钥

1YxfCQ6goYBD6Q

那我们现在的目标就是找加密的密文或者加密的压缩包

扫描一下桌面

volatility -f /root/mem.raw --profile=Win7SP1x86 filescan | grep "Desktop"

发现一个奇怪的文件，我们将其导出来

volatility -f mem.raw --profile=Win7SP0x86 memdump -p 3524 -D ./

将文件进行binwalk分离，发现压缩包。密钥也有了，解压后就是flag.

flag{wm_D0uB1e_TC-cRypt}

key不在这里

附件是一个二维码，扫描后得到一个链接

cn.bing.com/search?q=ke…

根据里面的URL感觉m参数是有用的。

m=10210897103375566531005253102975053545155505050521025256555254995410298561015151985150375568

我们就直接转ascii码

s = '10210897103375566531005253102975053545155505050521025256555254995410298561015151985150375568'
temp = ''
 
while len(s):
    if int(s[:3]) < 127:
        temp += chr(int(s[:3]))
        s = s[3:]
    else:
        temp += chr(int(s[:2]))
        s = s[2:]
print(temp)
flag{5d45fa256372224f48746c6fb8e33b32}

[UTCTF2020]sstv

慢扫描电视（SSTV）

慢扫描电视（Slow-scan television）是业余无线电爱好者的一种主要图片传输方法，慢扫描电视通过无线电传输和接收单色或彩色静态图片。

慢扫描电视的一个术语名称是窄带电视。广播电视需要6MHz的带宽，因为帧速为25到30fps。慢扫描电视的带宽只有3kHz，因此慢扫描电视是一种慢得多的静态图像传输方法，通常每帧需要持续8秒或若干分钟。

业余无线电操作员通常在短波（或高频）、甚高频、超高频波段使用慢扫描电视

下载完附件是一个wav文件，通过以上的知识点，想必大家也知道了这个题目考什么了。

首先安装工具

sudo apt install qsstv

该工具可以将sstv音频文件解码为图片。

使用方法：Options->Configuration->Sound勾选From file ，选择attachment.wav 即可解码

flag{6bdfeac1e2baa12d6ac5384cdfd166b0}

[*CTF2019]otaku

首先压缩包是一个伪加密，我们可以手动修改或者用软件修复(winrar).

提示：The txt is GBK encoding.

在文档里发现隐藏的字符串。根据flag.zip里的内容与提示，猜测是明文攻击。我们将其转换为需要的编码格式。

#encoding=GBK
f = open("d:\test.txt", "w")
s="Hello everyone, I am Gilbert. Everyone thought that I was killed, but actually I survived. Now that I have no cash with me and I’m trapped in another country. I can't contact Violet now. She must be desperate to see me and I don't want her to cry for me. I need to pay 300 for the train, and 88 for the meal. Cash or battlenet point are both accepted. I don't play the Hearthstone, and I don't even know what is Rastakhan's Rumble."
f.write(s)
f.close()

接着进行明文攻击即可。得到口令My_waifu解压得到图片。之后我们用zsteg查看通道可以发现flag.

zsteg picture -a
flag{vI0l3t_Ev3rg@RdeN}