抱歉,您的浏览器无法访问本站

本页面需要浏览器支持(启用)JavaScript


了解详情 >

Sanity Check

给出的链接是 Rule The World 的播放链接。而网站上的 RULES 里面有 All flags fall into the following format: justCTF{something_h3re!}, unless the challenge description states otherwise. 的描述。

1
justCTF{something_h3re!}

PDF is broken, and so is this file

使用 010 editor 打开所给的 pdf 可以发现其中隐藏了很多文件。foremost 分离出来,在 zip 目录下发现可以解压的压缩文档。其中包含一个工具和如下说明。

You didn’t think it would be this easy, did you?

https://www.youtube.com/watch?v=VVdmmN0su6E#t=11m32s

Maybe try running ./mutool draw -r 300 -o rendered.png on this PDF

1
>$ docker run -ti --rm -w /workdir/ --mount type=bind,source="$PWD",target=/workdir ubuntu:bionic ./mutool 

按照提示所给的信息运行 mutool 可以生成一张图片。

LMGTFY: Let Me Google That For You

在搜索引擎上找 2642 didier "42 bytes" object,可以发现一篇文章,讲的是 PDF Stream。读完之后回到 PDF 文件上,找一下 PDF 文件的 Stream。从每一个流的头部可以找到流的类型,长度以及过滤器。如果是图片,还能看到更多信息。

参照这篇文章可知 stream 必须要有一个 generation,查找流的时候可以发现有两个流使用了同一个 object ID,不同的 generation,而这个属性通常为 0。所以猜测 generation 为 1 的 stream 中藏有不同寻常的内容。

这个区块的 filter 有 [/FlateDecode /ASCIIHexDecode /DCTDecode] 这三个,因此需要提取出来之后再依次解码,这里的 FlateDecode 可以直接使用 binwalk -e 分离出来,找到最近的块的文件,即可得到 ASCIIHexDecode 之前的文件。将其使用 From Hex 解码即可得到一张 jpg 文件。将其渲染出来查看即可得到 flag。

1
justCTF{BytesAreNotRealWakeUpSheeple}

Forgotten name

在这个网站上使用顶级域名搜索可以找到这样一个三级域名。

text
1
https://6a7573744354467b633372545f6c34616b735f6f3070737d.web.jctf.pro/

访问它可以得到如下信息。

text
1
OH! You found it! Thank you <3

将所得到的域名的第一段,即 6a7573744354467b633372545f6c34616b735f6f3070737d,经过 From Hex 的解码之后可以得到 flag。

1
justCTF{c3rT_l4aks_o0ps}

Computeration

report 页面有一个提交网址的页面,提交之后会有 bot 去访问页面,因此想到监听请求。使用这个网站监听一下请求。

很容易发现 referer 里面有一个网址,整理一下得到如下网址。

1
https://computeration.web.jctf.pro/b811667a5a09db734093a974111d750e

尝试访问一下发现被跳转了。使用某在线工具请求一下,可以得到如下结果。

text
1
2
3
4
5
6
7
8
9
10
<script>

localStorage.setItem('notes',JSON.stringify([{
title:'flag',
content:'justCTF{cross_origin_timing_lol}'
}]));

location = (new URL(location.href)).searchParams.get('url');

</script>
1
justCTF{cross_origin_timing_lol}

Remote Password Manager

Volatility 2 跑一下 imageinfo,得到如下结果。

既然题目说 Remote,那就要找一下远程的程序。先跑一下 pslist 看一下进程列表。可以发现两个可疑进程。

使用 cmdline 先读一下命令行的历史,发现没有值得深入的地方。于是将 mstsc.exe 这个进程的部分 dump 下来。

text
1
python2 vol.py -f challenge.vmem --profile=Win10x64_18362 memdump -p 6484 -D ./

放到 Kali 下使用 GIMP 直接打开 raw data,调整宽高可以看到如下图片。

1
justCTF{7h3r3_15_n0_5uch_7h1n6_45_unh4ck4bl3}

评论