流量分析是一血,感觉还不错,有些题目有些比较抖机灵的部分吧。

RGB

附件code.txt,打开是图片的RGB值,稍微修改一下数据令其为R,G,B形式的格式,看了一下有28864行,分解一下,第一次试的是164*176,出来一个乱图,那么换一下xy,脚本如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
from PIL import Image

x = 176
y = 164

im = Image.new("RGB", (x, y))
file = open('code.txt')



for i in range(0, x):
for j in range(0, y):
line = file.readline()
rgb = line.split(",")
im.putpixel((i, j), (int(rgb[0]), int(rgb[1]), int(rgb[2])))

im.show()

得到的flag保存为图片,扔进imagemagick里flop一下

flag{c1d836d1db9d42dd}

zip

爆破,一开始没做出来,先后采用了1-8位纯数字和1-8位大写字母和数字组合,没有尝试小写字母数字组合,后来再试得到密码ff123,解压得到txt文件和加密的文档,txt文件内容得知考点应该是0宽和培根,培根解得文档密码xyj,打开文档复制全部内容解密,发现并不是0宽,在文档里全选修改字体颜色为红色发现flag。flag{cbfacb9df0c7caf9a2b8a8ffbd72d1a0}

Memory_1

附件val.vmem,在volatility里查看信息

1
vol.py -f val.vmem imageinfo

Win7SP1x64系统,先看一下pslist,发现一个cscript.exe比较可疑,猜测是文件名,拿去md5提交错误,那么查看cmdline,发现Command line : cscript "C:\Windows\TEMP\UEAOGWBdwyydm.vbs"

那么病毒文件应该就是UEAOGWBdwyydm.vbs

flag{24060da3d327991115a96e7099da25c3}

Memory_2

hashdump查看用户列表,有一个test$,带$的就是隐藏用户,作为flag的md5的前半段,另一个是来源进程,那么就需要知道什么进程使其添加账号。使用psscan查看隐藏起来的进程,多了比较可疑的net1.exe

KiiKCuSco.exe,分别尝试,发现前者正确。

flag{45321c07f425d915c55424957353dd07}

Slowloris

流量分析,wireshark打开,搜索http和POST字符串,寻找POST请求包追踪HTTP,导出对象为HTTP,没发现什么,搜索题目Slowloris得知为slowloris拒绝服务攻击,看到许多GET包头只有一个CRLF,证实了这一点,并且GET包的destination都是195.8.178.227。那么攻击方式就是slowloris了,这里运气比较不错,s取了小写,slowloris/195.8.178.227的md5值就是flag

flag{3fc9d4a929cb690728d2b76c76483abe}

pack!pack!pack!

exe文件,双击打开提示缺少dll,到网上下了一个dll,打开没什么东西。扔进exeinfope发现有upx壳,在kali下脱壳报错,搜索错误信息,获得upxf工具修复文件后再次脱壳,成功,在kali下直接打开脱壳后的exe归档文件,结合题目的resource描述,进入.rsrc文件夹发现string.txt,拖出来得到flag的前半部分flag{0bed66d154ccbdd0,其他文件夹再浏览一下发现一个比较可疑的138.bmp,扔进winhex发现最后面有base64串N2E2MzQyYWJmOTdhNWNmY30=,解得7a6342abf97a5cfc}组合起来得到完整的flag

flag{0bed66d154ccbdd07a6342abf97a5cfc}