​

                                                 MISC

​编辑

下载文件后，进行分析

往下划看见smb

​编辑

最开始以为是通过smb协议下载的文件

找半天没发现，往前翻了翻，看见了flag

​编辑

存储为原始数据

​编辑

通过上述分析发现开头是pk，保存为zip压缩包

发现需要密码

感觉是伪加密

使用工具一把梭

​编辑

再次打开压缩包就发现了flag

​编辑

证实了伪加密

​编辑

下载文件

发现是内存文件

​编辑

直接工具分析volatility

常规分析一波

查看镜像信息

​编辑

分析进程

​编辑

发现没有异常

查看cmd历史

​编辑

看到创建用户这个关键点

先留意

然后查看关键字

​编辑

发现有个zip

直接导出到本地

​编辑

改为zip

​编辑

以为是伪加密，工具梭了好几次，，编辑器并没发现0900，算是踩坑了

发现不对

想到上方留下的密码

尝试123456789不对

再尝试(ljmmz)ovo

得到flag​编辑

                                        web

​编辑

刚开始点进去以为是环境出了问题

后面裁判解释环境即是如此

​编辑

看网页存在405报错

以为是请求方式有问题

burp抓包改为POST

​编辑

发现还是没变化

猜测robots.txt          flag.txt            index.html

一连串下来发现没啥用

这时发现缺少了http请求字段x-forwarded-for

加上尝试

​编辑

发现页面出现了flag

 

​