标签：文件 加密 zip 密码 De1CTF2019 flag DeepInReal 压缩包

一道有亿点复杂的取证题
附件超级大，建议先给百度网盘整个脚本再下载，网上找到的方法，亲测可用

翻了很久也没找到原题目，大概意思是要从这个嫌疑人的电脑里找flag，据说比赛时还给了四个hint。

转自大佬wp

解压压缩包获得三个文件

先看看这个txt

去搜一下世界上最常见和最弱的密码

那么我们用题目所提供的加解密软件 WinAES 和密钥 123456 即可解密 recovered.bin 文件。

得到的这个就是解密好的

浅浅010看一下

可以说明是vmdk镜像文件，但是这个文件头明显不对，去找个正常的vmdk改一下文件头

这里改完保存好之后最好复制一份留个备用

因为除了vmdk别的也没啥提示所以要选择去VM加载这个镜像文件
成功进入系统，发现需要登录密码，输错一次之后会有密码提示-headers，可以推出是刚刚恢复后的二进制文件的文件头i_love_kdmv

成功进入，发现桌面有个便签，大概意思是，“你不应该到这里来，我已经删除了一条重要的钥匙，怎么找到我？”。

可以去搜搜win10系统创造桌面便签的方式win+w
运行后右侧弹出窗口

可以看到sketchpad 功能处写着 bitlock，点进去看看。

发现密码linj920623!@#的bitlocker密码，去我的电脑里发现加密磁盘

输入密码成功解密

点进第一个文件夹（备份文件夹）可以看到一个ethpass.dic,明显是一个字典文件，搜一下eth，后面的这块的就不会了。。。

一个字典文件一个以太坊钱包信息文件

写脚本爆破密码和私钥（wp拿的）

import eth_keyfile
import json

fp = open('ethpass.dict', 'r')
wallet = json.loads(open('UTC--2019-07-09T21-31-39.077Z--266ed8970d4713e8f2701cbe137bda2711b78d57', 'r').read())

while True:
    try:
        password = fp.readline().strip().encode('ascii')
        if len(password) <= 0 :
            print("password not found")
            break
    except:
        continue
    try:
        result = eth_keyfile.decode_keyfile_json(wallet, password)
    except:
        continue
    print(password)
    print(result)
    break

运行脚本得到加密钱包密码为 nevada，钱包私钥为 VeraCrypt Pass: V3Ra1sSe3ure2333，而且私钥还提示了VeraCrypt加密，那首先需要找到加密文件。

官方wp用了取证大师，并且要加载的是之前备份的完整镜像，找到的这个文件就是加密文件

结合据说是其中一个hintStartup，也就是自启动文件，去搜这个文件一般来说目录在哪，在运行里输入shell:startup

弹出来的就是要找的文件夹，我做的时候一开始是没看到文件的，然后点了显示隐藏文件才看到

把这个自启动程序拿出来看一下发现正是对我们要找的加密文件进行开机自动删除

用DiskGenius加载之前备份的磁盘或者直接在取证大师里都可以把文件导出来

直接用密码V3Ra1sSe3ure2333使用 VeraCrypt进行解密并挂载，进入磁盘发现全是图片

最后有个txt，点开说一共有185个文件但是现在只有184个文件，那就是有一个文件被隐藏了

试一下NTFS，发现被隐藏的文件

简单分析一下，大概意思是flag被存在flag.zip里，flag.zip在database（数据库）里

桌面上有个phpstudy和Navicat


这两个是可以搞MySQL数据库的，但是因为比赛是2019年的，镜像中的Navicat试用版已经过期，那就在phpstudy上找找，这里有个备份还原数据库，不过需要密码。


其实可以选择重置密码

但是我选择直接打开数据库目录

然后把这几个文件夹复制到我自己的电脑上

一开始试了一下直接用FileLocator Pro搜zip，但是没什么发现，想一想可能是经过了编码，先试试比较常见的base64，随便找个zipbase64加密一下，抓个文件头去搜


这个提出来解码就是zip文件不过结尾带了点东西

存下来之后拿到010发现最后这个应该是压缩包的注释，需要密码，把这段删了打开压缩包果然需要密码。

试一下NTFS搞出来的那串，成功解开压缩包，得到flag

过程参考：
官方wphttps://github.com/De1ta-team/De1CTF2019/blob/master/writeup/misc/DeepInReal/readme_zh.md
另一位参赛大佬wphttps://www.anquanke.com/post/id/183507#h2-0

标签：文件,加密,zip,密码,De1CTF2019,flag,DeepInReal,压缩包
来源： https://www.cnblogs.com/fengyuxuan/p/16545100.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。