0x00 套的签到题

题目描述:这是你沐师傅的站的流量,最近你沐师傅去跟着某讯搭了一个WP平台后发了一篇文章再测试了一下自己的网站就再也没去管过平台了。结果被某位名字貌似大概可能叫g4_simon的大黑阔给hack掉了网站,并进行了一些操作拿到了沐师傅放在平台里的信息。由于沐师傅说他摆烂了不想自己研究,于是将流量附件放了出来叫大家来帮忙找一找。 找到三段你觉得像flag的内容并用下划线组合,即ctfshow{A1_A2_A3}。

flag1:流220找到50a026070cDRydDFfeTAwX3lvdV9jcmFja19teV93cHdlYg==,去掉50a026070余下部分Base64解码得到flag1:p4rt1_y00_you_crack_my_wpweb

flag2:流246找到bm93X3lvdV9jYW5fc3VibWl0X2ZsYWcy,Base64解码得到hint:now_you_can_submit_flag2

flag3:流336找到flag3:oh_you_got_the_part_3

flag为ctfshow{p4rt1_y00_you_crack_my_wpweb_now_you_can_submit_flag2_oh_you_got_the_part_3}

0x01 JiaJia-CP-1

题目提供了一个raw文件,利用imageinfo命令确定了操作系统为Win7SP1x64。

1.佳佳的电脑用户名叫什么(即C:\Users\{name})

使用volatility -f JiaJia_Co.raw --profile=Win7SP1x64 filescan|grep Desktop命令查找了桌面上的文件,顺便知道了用户名就叫JiaJia。

2.最后一次运行计算器的时间?(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)

使用userassist查看,userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等。发现计算器的最后一次使用时间为2021-12-10 12:15:47,但这里UTC+0000是国际时间,+8000是东八区时间,在国际时间+8小时为北京时间即20:15:47

0x02 JiaJia-CP-2

1.佳佳在公司使用了一款聊天软件,请问此软件的版本号为?

做第一题时查找了桌面上的文件,确定聊天软件为Telegram。

volatility -f JiaJia_Co.raw --profile=Win7SP1x64 filescan|grep Telegram

将其导出

volatility -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013fde26a0 -n --dump-dir=./

在详细信息里可以找到版本号为3.3.0.0:

2.佳佳在网页上登录了自己的邮箱,请问佳佳的邮箱是?

使用了chrome查询插件,iehistory查找信息均无果。查看截屏得到邮箱全称:

volatility -f JiaJia_Co.raw --profile=Win7SP1x64 screenshot --dump-dir=./

0x03 JiaJia-CP-3

1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)

同样使用使用userassist查看,使用时间为2021-12-10 20:28:43。

2.佳佳解压了从chrome下载了一个压缩文件,此文件的相关内容信息已经写入了到环境中,请问文件的内容是?

加载chrome插件,通过查询历史记录可以得到下载的压缩文件是加密的part2.rar。

volatility --plugins=/usr/share/volatility/contrib/plugins/chrome -f JiaJia_Co.raw --profile=Win7SP1x64 chromehistory

没有找到未加密的part2的文件内容,也爆破不出来。查看环境变量:

volatility -f JiaJia_Co.raw --profile=Win7SP1x64 envars