zoukankan      html  css  js  c++  java
  • Boston Key Party 2015 Heath Street 题解(Writeup)

    Heath Street是Boston Key Party 2015的一道数字取证题目,我们得到了一个叫做“secretArchive.6303dd5dbddb15ca9c4307d0291f77f4”的文件,目标显然是将包含flag的文件恢复过来。

    识别

    首先我们使用file来确定文件类型

    1
    wiremask:~$ file secretArchive.6303dd5dbddb15ca9c4307d0291f77f4

    secretArchive.6303dd5dbddb15ca9c4307d0291f77f4: Linux rev 1.0 ext4 filesystem data, UUID=035b2734-be8c-46dd-af8f-1b3523dcd9d2 (extents) (huge files)

    诱饵

    文件看上去是一个linux文件系统,我们把他挂载到系统来检查其内容

    1
    wiremask:~$ mount secretArchive.6303dd5dbddb15ca9c4307d0291f77f4 /mnt/tmp

    里面包含了1986个文件,绝大部分是ASCII文本文件,都是《The Venona Story》里面的内容。“secret1337”文件看上去和其他不同,他是一个加密的ZIP文件,不幸的是他只是一个诱饵。

    恢复文件

    其实真正的目标是恢复删除过的文件,也许可以使用extundelete,他可以从ext4分区恢复删除的文件。

    1
    wiremask:~$ extundelete --restore-all secretArchive.6303dd5dbddb15ca9c4307d0291f77f4

    这个命令产生了一个隐藏的新文件“.secret31337”,使用file命令查看后我们发现这是一个使用KGB Archiver 软件进行了3级压缩的文件

    获取flag

    最后一步是下载这个软件然后解压缩,最后我们获得了flag。

  • 相关阅读:
    HDU 6076
    HDU 6069
    ZOJ
    HDU
    斜率优化dp
    UVA 11752 The Super Powers
    poj 3761 bubble sort (排列组合)
    UVA 11174 Stand in a Line
    Caffe初学者第二部:Ubuntu16.04上安装caffe(CPU)+Matlab2014a+Opencv3的详细过程 (亲测成功, 20180529更新)
    Caffe初学者第一部:Ubuntu14.04上安装caffe(CPU)+Python的详细过程 (亲测成功, 20180524更新)
  • 原文地址:https://www.cnblogs.com/HacTF/p/6790769.html
Copyright © 2011-2022 走看看