码迷,mamicode.com
首页 > 其他好文 > 详细

2019红帽杯-MISC-WriteUp(更新中)

时间:2019-11-19 01:25:38      阅读:182      评论:0      收藏:0      [点我收藏+]

标签:ola   查看进程   table   com   data   grep   程序   多次   col   

前言:

  前阵子玩了玩今年的红帽杯,题目质量很高,值得记录一下。

  题目见:https://github.com/DrsEeker/redhat2019

0x01: Advertising for marriage

 拿到题目,是一个500多M的RAW文件,可知这是一道内存取证题目,使用内存取证工具Volatility进行分析:

使用格式:Volatility -f [imgfile] [command]

  技术图片

发现是WindowsXPSP2,查看进程信息:

Volatility -f [imgfile] --profile=WinXPSP2 psscan

技术图片

 

 

技术图片

发现两个可疑进程:notepad.exe(记事本)和mspaint.exe(画图)

查看记事本内容:Volatility -f [imgfile] --profile=WinXPSP2x86 notepad

技术图片

 

 看到提示:????needmoneyandgirlfirend(吐槽一下,这里的girlfriend还打错了)

前四个字符不可知,dump画图进程:

Volatility -f [imgfile] --profile=WinXPSP2x86 memdump -p [pid] --dump-dir [outdir]

 技术图片

 

 使用GIMP工具载入原始图像数据(先重命名后缀为data),具体操作:

技术图片

 

 调整位移可以调整图像在内存中的偏移,调整高度和宽度则是图像分辨率,先调整高度至一个适合的值,再调整宽度,再慢慢调整位移,可以得到进程在内存中的图像信息。

hint:每个宽度与高度均对应了一个分辨率,不同分辨率可以呈现的画面是不同的

经过我的多次调试后发现,把图像宽度调至960可以发现:

技术图片

 

 其中的图片是镜像的,这便是画图界面在内存中的图像信息,镜像反转后可以得到b1cx这四个字符,结合notepad中提取的hint可以得到:b1cxneedmoneyandgirlfirend

到现在并没有发现一些直截了当的信息,于是,转变方向,我们可以尝试查看一下桌面上有什么内容:

volatility -f [imgfile] --profile=[imgversion] filescan | grep [arg]

技术图片

 

可以看到桌面上有Dump It.exe(就是这个程序生成的内存dump文件,即我们拿到的题目文件),HP-xxxx.raw(这个raw文件就是我们的题目文件了),vegetable.png(可疑,dump下来看看)

volatility -f [imgfile] --profile=[imgversion] dumpfiles -Q [file_offset] --dump-dir [outdir]

 技术图片

 

查看dump出的图片:

技术图片

 

 打开图片时遇到错误,提示CRC校验出错,猜测是高度或者宽度有问题,利用CRC爆破可以得到图片的正确高度为:

 技术图片

 

 贴上脚本:

# -*- coding: utf-8 -*-
import binascii
import struct
crc32key = 0xB80A1736
height = 0
width = 0x11f
for i in range(0, 0xffff):
  height = struct.pack(>i, i)
  #width = struct.pack(‘>i‘,i)
  data = \x49\x48\x44\x52 + struct.pack(>i,width) + height + \x08\x06\x00\x00\x00 #爆破高度用
  #data = ‘\x49\x48\x44\x52‘ + width + struct.pack(‘>i‘,height) + ‘\x08\x06\x00\x00\x00‘ #爆破宽度用
  crc32result = binascii.crc32(data) & 0xffffffff
  if crc32result == crc32key:
    print(‘‘.join(map(lambda c: "%02X" % ord(c), height)))

在010editor中改好打开图片看到:

技术图片

 

 看到是模糊的flag,使用binwalk也没有什么发现,怀疑是LSB隐写,使用cloacked-pixel工具:

python extract [infile] [outfile] [pass]

技术图片

 可以看到

技术图片

 

 Base64解密得:

Virginia ciphertext:gnxtmwg7r1417psedbs62587h0

看到是维吉尼亚密码,由于维吉尼亚密码的秘钥只能是字母,所以从b1cxneedmoneyandgirlfirend剔除掉1再解密

可以得到

技术图片

 

 flag : flagisd7f1417bfafbf62587e0

 

 

2019红帽杯-MISC-WriteUp(更新中)

标签:ola   查看进程   table   com   data   grep   程序   多次   col   

原文地址:https://www.cnblogs.com/basstorm/p/11885798.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!