2024数信杯南区WP

数据分析

不安全的U盘.1

题目内容:

小明在一家数据安全公司上班,今天在公司捡到了一个U盘,好奇心冒出的他将它插入到自己的电脑中,并查看里面的README.pdf后,打开后发现自己的电脑变卡了,并且一段时间后,有很大的下载的流量传入。小明在想,难道这个pdf文件是木马?于是有着安全意识的小明,紧急将当前电脑的内存状态给进行了一个保存,并进行了断网操作。

(本题附件见于提前下载的加密压缩包file1.7z,解压密码为03feb52b45d074a82c064ee0f73f089e)

请提交小明电脑中的test账户的密码(格式为hash对应的明文,长度为9)

1
2
3
4
5
volatility_2.6_win64_standalone.exe -f "D:\UserData\Desktop\春秋杯\不安全的U盘_3ba0c570fac7eef3e90acc3eaabb5c8d\WIN-T89OD3C9LOC-20231229-081734.raw" --profile=Win7SP1x64 hashdump
Volatility Foundation Volatility Framework 2.6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
test:1000:aad3b435b51404eeaad3b435b51404ee:a06a10e99b2d8d53a7514fd0e73d42e1:::
1
2
3
4
Module   User             Domain           Password
-------- ---------------- ---------------- ----------------------------------------
wdigest test WIN-T89OD3C9LOC hahaha123
wdigest WIN-T89OD3C9LOC$ WORKGROUP

image-20240416200755130

flag{hahaha123}

不安全的U盘.2

题目内容:

请提交导致小明点击pdf后被控的危险软件名字(格式为包含完整路径的危险软件名字,并去除空格,去除空格后长度为56)

通过CMDline得到危险软件名字

1
2
AcroRd32.exe pid:   1588
Command line : "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe" "C:\Users\test\Desktop\aaa\README.pdf"
1
C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe

不安全的U盘.3

题目内容:

请提交控制小明的服务器地址:端口(格式为”ip:port”,长度为19)

通过netscan

1
0x7e4895a0         TCPv4    192.168.255.131:49166          192.168.31.238:4444  ESTABLISHED      1588     AcroRd32.exe
1
192.168.31.238:4444

不安全的U盘.4

题目内容:

攻击者在控制了小明电脑后,似乎上传了用于后渗透的文件,请找到该文件对应的配置文件,从配置文件中溯源到攻击者的公网服务器的ip地址和监听端口(格式为”ip_port”,长度为19)

frp最新文件后缀为.toml

1
vol -f 1.raw --profile=Win7SP1x64 filescan | grep .toml

dump下来

image-20240416211801970

1
118.180.126.13_6770

网站的数据绝对安全.1

题目内容:

系统中存在的用户名是什么?

image-20240416212427278

只有这个用户返回的result code不一样,所以他是存在的用户

1
livwdaw

网站的数据绝对安全.2

题目内容:

key3的的值是什么?

导出对象HTTP,在safe.html里找到

csSs Be xsO2: UYYGDKuhidwhd729434

在data.html

here is key:ng2dadaDAEd3raaIU

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<!DOCTYPE html>


<head>
<title>我就说我们的数据是安全的</title>
</head>

<body>
<p>csSs Be xsO2: UYYGDKuhidwhd729434</p>
</body>
<style>
@font-face {
font-family: "datasec";
src: url("datasec.ttf");
}
html {
font-family: datasec;
}
</style>

这里面有个字体datasec,我们导出字体就可以显示key3

image-20240416213111983

网站的数据绝对安全.3

题目内容:

图片中泄漏的信息是什么?

image-20240416225610965

Bitcoin.1

题目内容:

(本题附件见于提前下载的加密压缩包file2.7z,解压密码为ea22f6a70e24c3aa682aa43ab1c19220)

计算机上的加密货币钱包程序在何时被安装?(时间以东八区为准,格式为YYYY/MM/DD-HH:MM:SS)

Bitcoin.2

题目内容:

隐藏的加密货币钱包文件的完整路径是什么?

Bitcoin.3

题目内容:

钱包中记录着一笔交易,这笔交易的接收方地址是什么?

Bitcoin.4

题目内容:

在合约CTF.sol中存在一处漏洞,该漏洞是由哪一函数造成的(比如:exec)?

数据安全

Classic_image_steganography

题目内容:

很经典的图片隐写

Classic_image_steganography

观察图片,可以得到这是rgb隐写,先对图片进行翻转,确保图片有数据的像素点从上到下,从左到右

Classic_image_steganography

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
from PIL import Image

image_path = './Classic_image_steganography.png'
image = Image.open(image_path)

width, height = image.size
data = b''

for y in range(height):
for x in range(width):
pixel = image.getpixel((x, y))
if len(pixel) == 4:
r, g, b, a = pixel
else:
r, g, b = pixel
data += bytes([r, g, b])


output_file_path = 'out.bin'
with open(output_file_path, 'wb') as f:
f.write(data)

运行得到

image-20240415204322418

看到了IHDR,所以是png图片,修补文件头并修复宽高666*666,得到

image-20240415222248911

flag{1066dfeeecc51684e1394fbebcac37ec}

Magic Audio

题目内容:

magic audio

听一下ctf.wav明显是SSTV

工具识别一下

image-20240416192145699

菜就多练

然后binwalk一下wav 有31AE60.zip

压缩密码猜测为菜就多练

flag{61909dd6f4120aac7edb9193491fd83e}

rrrrcccc

题目内容:

Where did my correct code go?