2024 第一届VCTF纳新赛-Misc-f0rensicmaster

题目描述

下载并查看附件

附件为e01的镜像文件

使用R-STUDIO打开镜像文件

存在两个分区，且第二个分区进行了加密，那么很明显需要从第一个分区获得恢复密钥文件

打开分区1

在ROOT下发现hint.zip和logo.png

导出文件并查看

zip压缩包也存在一个logo.png，结合另一个logo.png,很可能存在明文攻击

将获得的logo.png进行压缩，比较CRC值

存在明文攻击

使用ARCHPR进行明文攻击

查看key文件

存在恢复密钥

输入密钥到加密分区

点击ROOT发现flag.txt

导出查看

尝试十六进制解码

一眼摩斯密码

摩斯密码解密

得到一个奶牛快传的链接

复制到浏览器打开

下载该文件并查看

发现是乱码

观察文件大小刚好为3mb推测为VeraCrypt加密容器 (我没推测出来)，密钥是平台给的Hint：RtTNZ&n*$GKaKuehKO3+

打开并查看

一个无间道的docx文件，打开有两张图片，但感觉不止这些

修改后缀为zip打开

在media目录下发现四张图片

全部导入到010editor查看

在image2末尾发现逆置的压缩包数据，结合IEND确认结尾数据

通过010editor导出

再将压缩包数据复制,通过010editor粘贴为十六进制导入(也可新建十六进制文件，再通过快捷键Ctrl + Shift +V粘贴)

保存为1.txt，通过曾哥的FileReverse-Tools工具进行倒置(地址：https://github.com/AabyssZG/FileReverse-Tools)

将导出的文件修改后缀为zip打开

注释提示密码为“专政工具塔湾制造厂”75周年校庆日（时间戳）

直接爆破

范围选择所有数字，长度选择最小为8，最大为12，成功获得密码为1684598400

查看flag.txt

得到flag为flag{ba93d8e998e5522c7d800f94125907dc}