2024 第一届VCTF纳新赛-Misc-f0rensicmaster
字数 1631 2025-08-18 17:33:16

VCTF纳新赛-Misc-f0rensicmaster 取证挑战详细解析

题目概述

这是一个取证分析挑战,要求参赛者从一个E01镜像文件中提取flag。题目涉及多个取证技术点,包括磁盘镜像分析、加密分区处理、明文攻击、数据隐写和密码破解等。

解题步骤详解

第一步:镜像文件初步分析

  1. 文件类型识别:附件为E01镜像文件(EnCase镜像格式)
  2. 工具准备:使用R-Studio进行镜像分析
  3. 分区情况
    • 存在两个分区
    • 第二个分区被加密

第二步:第一个分区分析

  1. 分区内容

    • 路径:/ROOT/
    • 包含文件:
      • hint.zip
      • logo.png

  2. 文件导出:将这两个文件从镜像中导出到本地

第三步:明文攻击准备

  1. 文件分析

    • hint.zip内也包含一个logo.png文件
    • 比较两个logo.png文件:
      • 外部logo.png
      • zip内的logo.png

  2. CRC校验

    • 将外部logo.png压缩后比较CRC值
    • 确认存在明文攻击的可能性

  3. 实施明文攻击

    • 使用ARCHPR(Advanced Archive Password Recovery)工具
    • 选择"明文攻击"模式
    • 提供已知的logo.png文件作为明文参考
    • 成功破解后获得key文件

第四步:加密分区解密

  1. 恢复密钥获取

    • 从破解得到的key文件中提取恢复密钥

  2. 解密第二个分区

    • 在R-Studio中输入恢复密钥
    • 成功解密后访问分区内容

  3. flag文件发现

    • 路径:/ROOT/flag.txt
    • 文件内容为十六进制编码

第五步:十六进制解码

  1. 解码过程

    • 将十六进制内容转换为ASCII
    • 识别出摩斯密码格式

  2. 摩斯密码解密

    • 使用摩斯密码解码工具
    • 获得一个奶牛快传的下载链接

第六步:下载文件分析

  1. 文件初步检查

    • 下载的文件显示为乱码
    • 文件大小恰好为3MB

  2. 文件类型推测

    • 可能是VeraCrypt加密容器
    • 题目提示密钥:RtTNZ&n*$GKaKuehKO3+

  3. 挂载加密容器

    • 使用VeraCrypt工具
    • 输入提供的密钥挂载容器

第七步:文档分析

  1. 文件内容

    • 容器内包含一个"无间道.docx"文件
    • 打开显示两张图片但可能有隐藏内容

  2. 文件结构分析

    • 将.docx后缀改为.zip并解压
    • 在/media/目录下发现四张图片

  3. 图片隐写分析

    • 使用010 Editor检查每张图片
    • 在image2末尾发现:
      • 逆置的压缩包数据
      • IEND标记确认数据结尾

第八步:隐藏数据提取

  1. 数据导出

    • 通过010 Editor选择并导出异常数据
    • 方法:
      • 复制十六进制数据
      • 新建文件并粘贴(Ctrl+Shift+V)
      • 保存为.zip文件

  2. 压缩包分析

    • 注释提示密码信息:
      • "专政工具塔湾制造厂"75周年校庆日(时间戳)

第九步:密码破解

  1. 密码策略

    • 需要将校庆日转换为时间戳格式
    • 不确定具体日期,选择爆破

  2. 爆破设置

    • 工具:ARCHPR或John the Ripper
    • 参数:
      • 字符集:纯数字
      • 长度:8-12位
      • 模式:暴力破解

  3. 成功获取密码

    • 密码:1684598400(对应的时间戳)

第十步:最终flag获取

  1. 解压文件

    • 使用获得的时间戳密码解压
    • 查看flag.txt内容

  2. flag内容

    • flag{ba93d8e998e5522c7d800f94125907dc}

技术要点总结

  1. 取证工具使用

    • R-Studio用于磁盘镜像分析
    • ARCHPR用于压缩包密码破解和明文攻击
    • 010 Editor用于二进制分析和数据提取

  2. 加密技术

    • 分区加密与恢复密钥获取
    • VeraCrypt容器识别与挂载

  3. 隐写技术

    • 图片文件末尾附加数据
    • 文档文件(zip格式)结构分析

  4. 密码学应用

    • 摩斯密码解码
    • 时间戳密码生成与破解

  5. 综合技巧

    • 明文攻击条件识别与实施
    • 非常规数据提取方法
    • 注释信息与密码关联分析

完整flag

flag{ba93d8e998e5522c7d800f94125907dc}

VCTF纳新赛-Misc-f0rensicmaster 取证挑战详细解析 题目概述 这是一个取证分析挑战,要求参赛者从一个E01镜像文件中提取flag。题目涉及多个取证技术点,包括磁盘镜像分析、加密分区处理、明文攻击、数据隐写和密码破解等。 解题步骤详解 第一步:镜像文件初步分析 文件类型识别 :附件为E01镜像文件(EnCase镜像格式) 工具准备 :使用R-Studio进行镜像分析 分区情况 : 存在两个分区 第二个分区被加密 第二步:第一个分区分析 分区内容 : 路径:/ROOT/ 包含文件: hint.zip logo.png 文件导出 :将这两个文件从镜像中导出到本地 第三步:明文攻击准备 文件分析 : hint.zip内也包含一个logo.png文件 比较两个logo.png文件: 外部logo.png zip内的logo.png CRC校验 : 将外部logo.png压缩后比较CRC值 确认存在明文攻击的可能性 实施明文攻击 : 使用ARCHPR(Advanced Archive Password Recovery)工具 选择"明文攻击"模式 提供已知的logo.png文件作为明文参考 成功破解后获得key文件 第四步:加密分区解密 恢复密钥获取 : 从破解得到的key文件中提取恢复密钥 解密第二个分区 : 在R-Studio中输入恢复密钥 成功解密后访问分区内容 flag文件发现 : 路径:/ROOT/flag.txt 文件内容为十六进制编码 第五步:十六进制解码 解码过程 : 将十六进制内容转换为ASCII 识别出摩斯密码格式 摩斯密码解密 : 使用摩斯密码解码工具 获得一个奶牛快传的下载链接 第六步:下载文件分析 文件初步检查 : 下载的文件显示为乱码 文件大小恰好为3MB 文件类型推测 : 可能是VeraCrypt加密容器 题目提示密钥: RtTNZ&n*$GKaKuehKO3+ 挂载加密容器 : 使用VeraCrypt工具 输入提供的密钥挂载容器 第七步:文档分析 文件内容 : 容器内包含一个"无间道.docx"文件 打开显示两张图片但可能有隐藏内容 文件结构分析 : 将.docx后缀改为.zip并解压 在/media/目录下发现四张图片 图片隐写分析 : 使用010 Editor检查每张图片 在image2末尾发现: 逆置的压缩包数据 IEND标记确认数据结尾 第八步:隐藏数据提取 数据导出 : 通过010 Editor选择并导出异常数据 方法: 复制十六进制数据 新建文件并粘贴(Ctrl+Shift+V) 保存为.zip文件 压缩包分析 : 注释提示密码信息: "专政工具塔湾制造厂"75周年校庆日(时间戳) 第九步:密码破解 密码策略 : 需要将校庆日转换为时间戳格式 不确定具体日期,选择爆破 爆破设置 : 工具:ARCHPR或John the Ripper 参数: 字符集:纯数字 长度:8-12位 模式:暴力破解 成功获取密码 : 密码: 1684598400 (对应的时间戳) 第十步:最终flag获取 解压文件 : 使用获得的时间戳密码解压 查看flag.txt内容 flag内容 : flag{ba93d8e998e5522c7d800f94125907dc} 技术要点总结 取证工具使用 : R-Studio用于磁盘镜像分析 ARCHPR用于压缩包密码破解和明文攻击 010 Editor用于二进制分析和数据提取 加密技术 : 分区加密与恢复密钥获取 VeraCrypt容器识别与挂载 隐写技术 : 图片文件末尾附加数据 文档文件(zip格式)结构分析 密码学应用 : 摩斯密码解码 时间戳密码生成与破解 综合技巧 : 明文攻击条件识别与实施 非常规数据提取方法 注释信息与密码关联分析 完整flag flag{ba93d8e998e5522c7d800f94125907dc}