2024CISCN初赛 MISC wp
签到
配好metemask答题即可
神秘文件
part4:
直接看PPT
之后改后缀zip,解压看
part8:
ppt/slideLayouts/slideLayout2.xml
替换一下,再base64
part6:
\ppt\media
part9:
part2:
ppt\embeddings
把docx改为zip,凯撒,偏移10
part10:
ppt/comments/comment1.xml
维吉尼亚
part5:
ppt/notesSlides/notesSlide5.xml
part1:
docProps/app.xml
part7:
ppt/slides/slide4.xml
rot
part3:
有VB宏,微步跑一下
Sub crypto(sMessage, strKey)
Dim kLen, x, y, i, j, temp
Dim s(256), k(256)
kLen = Len(strKey)
For i = 0 To 255
s(i) = i
k(i) = Asc(Mid(strKey, (i Mod kLen) + 1, 1))
Next
j = 0
For i = 0 To 255
j = (j + k(i) + s(i)) Mod 256
temp = s(i)
s(i) = s(j)
s(j) = temp
Next
x = 0
y = 0
For i = 1 To 3072
x = (x + 1) Mod 256
y = (y + s(x)) Mod 256
temp = s(x)
s(x) = s(y)
s(y) = temp
Next
For i = 1 To Len(sMessage)
x = (x + 1) Mod 256
y = (y + s(x)) Mod 256
temp = s(x)
s(x) = s(y)
s(y) = temp
crypto = crypto & (s((s(x) + s(y)) Mod 256) Xor Asc(Mid(sMessage, i, 1))) & ","
Next
'i13POMdzEAzHfy4dGS+vUA==(After base64)
End Sub
RC4,空密钥解密
通风机
mwp文件,其实就是PLC编程,找到正确版本的软件解析就行了
找了个这个
发现导入不进去,修一下文件头,之后导入,翻阅找到flag
DNS
发现域名很多二进制,提取出来转二维码,CQR扫一下
得到一段密码
之后继续看
发现有两种流
dns.id==0x6421
dns.id==0x4500
分别提取,一个得到压缩包,压缩包用二维码得到的解密
另一个得到乱码,file一下发现压缩包得到是pgp
不知道key,看题目描述,经过尝试发现rev+hex+rev可以成功import
之后把乱码文件处理一下,decrypt
盗版软件
两个文件
第一个dmp改后缀为data,用gimp2调一下参数得到域名
winhack.com
之后找ip,微步找释放文件
dump下来,loader没啥用,看output.png
发现有个zip,提取出来
发现是base85,解密之后,觉得是shellcode,改后缀为bin放微步跑得到ip
winhack.com39.100.72.235
没有评论