2024CISCN初赛 MISC wp
想写一首LoveSong 发表于 山东 CTF 1062浏览 · 2024-05-19 12:08

签到

配好metemask答题即可

神秘文件

part4:

直接看PPT

之后改后缀zip,解压看

part8:

ppt/slideLayouts/slideLayout2.xml

替换一下,再base64

part6:

\ppt\media

part9:

part2:

ppt\embeddings

把docx改为zip,凯撒,偏移10

part10:

ppt/comments/comment1.xml

维吉尼亚

part5:

ppt/notesSlides/notesSlide5.xml

part1:

docProps/app.xml

part7:

ppt/slides/slide4.xml

rot

part3:
有VB宏,微步跑一下

Sub crypto(sMessage, strKey)
    Dim kLen, x, y, i, j, temp
    Dim s(256), k(256)

    kLen = Len(strKey)
    For i = 0 To 255
        s(i) = i
        k(i) = Asc(Mid(strKey, (i Mod kLen) + 1, 1))
    Next

    j = 0
    For i = 0 To 255
        j = (j + k(i) + s(i)) Mod 256
        temp = s(i)
        s(i) = s(j)
        s(j) = temp
    Next

    x = 0
    y = 0

    For i = 1 To 3072
        x = (x + 1) Mod 256
        y = (y + s(x)) Mod 256
        temp = s(x)
        s(x) = s(y)
        s(y) = temp
    Next

    For i = 1 To Len(sMessage)
        x = (x + 1) Mod 256
        y = (y + s(x)) Mod 256
        temp = s(x)
        s(x) = s(y)
        s(y) = temp

        crypto = crypto & (s((s(x) + s(y)) Mod 256) Xor Asc(Mid(sMessage, i, 1))) & ","
    Next
    'i13POMdzEAzHfy4dGS+vUA==(After base64)
End Sub

RC4,空密钥解密

通风机

mwp文件,其实就是PLC编程,找到正确版本的软件解析就行了

找了个这个

发现导入不进去,修一下文件头,之后导入,翻阅找到flag

DNS

发现域名很多二进制,提取出来转二维码,CQR扫一下

得到一段密码

之后继续看

发现有两种流

dns.id==0x6421
dns.id==0x4500

分别提取,一个得到压缩包,压缩包用二维码得到的解密

另一个得到乱码,file一下发现压缩包得到是pgp

不知道key,看题目描述,经过尝试发现rev+hex+rev可以成功import

之后把乱码文件处理一下,decrypt

盗版软件

两个文件

第一个dmp改后缀为data,用gimp2调一下参数得到域名

winhack.com

之后找ip,微步找释放文件

dump下来,loader没啥用,看output.png

发现有个zip,提取出来

发现是base85,解密之后,觉得是shellcode,改后缀为bin放微步跑得到ip

winhack.com39.100.72.235

0 条评论
某人
表情
可输入 255

没有评论

目录