Fork me on GitHub

Routine Training:Misc

发表于 | 更新于 | 分类于

Break In 2017

Mysterious GIF

  • Step 1

binwalk 发现有额外数据

继续对temp.zip文件进行binwalk,发现有大量zip

解压出来是一堆加密过的文件

  • Step 2

继续分析gif文件,发现每一帧文件的metadata出有异常数据,尝试进行提取

$ identify -format "%s %c \n" Question.gif 
0 4d494945767749424144414e42676b71686b6947397730424151454641415343424b6b776767536c41674541416f4942415144644d4e624c3571565769435172
...
24 484b7735432b667741586c4649746d30396145565458772b787a4c4a623253723667415450574d35715661756278667362356d58482f77443969434c684a536f
  • Step 3

base64 解码得到

MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQDdMNbL5qVWiCQr
X2w69q/7y3ShIPueptxfAwRQbROre30c6Uw/oK8weZTx44m0ALouhV46KcQJkhrq
...
HKw5C+fwAXlFItm09aEVTXw+xzLJb2Sr6gATPWM5qVaubxfsb5mXH/wD9iCLhJSo
rK0RHZktPbEs5ytDsqBHd5PFFw==

猜测为公玥文件

  • Step 4

对由temp.zip得到的一堆文件进行解密

$openssl rsautl -decrypt -inkey ../key -in partaa.enc 
JFIFC

有第一份文件解密结果猜测此为一个完整的Jpg文件

$ for i in `ls`
>> do
>> openssl rsautl -decrypt -inkey ../key  -in $i >> flag.jpg
>> done

AlexCTF-2017

USB probing

  • Step 1

binwalk 发现存在png

  • Step 2

分析协议后使用tshark进行提取

tshark -r Usb-probing.pcap -T fields -e usb.capdata|tr -d ':'|tr -d '\n'|grep "8950\w*" -o > raw

  • Step 3

还原为png图片

xxd -p -r raw png

Usb Probing