虎符安全杯:Misc 奇怪的组织

绝对难受的一道题。就差一个点就出了。
先下载巨大文件吧。
500M,pandownloaded dead
爷有会员。
下载下来,用了取证大师。
直接分析。
把几个重要的点,展示下。

这里发现了,他有奇怪的搜索记录。
搜索了emoji这个奇怪的密码,
通过他这些网站。
以及在邮件里也有类似的网站。
而所需要密钥
就是他搜索的🐉

mzl开头网站为分享的加密信息。
可以得到一个比较关键的信息。
Real name
来解密在邮件里的许多emoji。
那么在sdcard中就可以发现一个.fcv文件。
表面上只是个简单的人脉。
但是用txt打开,就可以发现了。
他的里面对应邮箱的username:matachuan
(谁是狗粉丝出来让我康康。
那么就可以很快乐的在emoji-aes上解密了。
网址:https://aghorler.github.io/emoji-aes/#decrypt

最后找他的浏览记录。

看来这个内鬼被抓出来前写出了最后的博文。
那么找到这个博文吧。

那么最后一步就是用这个来解aes咯。


分割线

上面只是堆叠了解题步骤,这里我想告诉下大家我的想法。
1.首先搞到了文件,发现巨大的文件夹。先考虑东西去分析。
期间找到了很多与题无关的,比如壁纸,很多莫名其妙的密文和音乐。
2.用取证类工具分析后,可以发现他的浏览记录和他自己写的博客是有关系的。因为博客那个可以确定为AES的一个密文。但是缺少密钥,届时主办方放出了hint。让好好看看他的浏览记录。
3.在浏览记录找到了与emoji相关。而他自己的浏览记录其实仅有密钥,
他的邮箱里有几个邮件。里面带有奇怪的网址。那个网址打开就是解密的样子,应该是类似于一种单表密码。
4.解出上面会出现3句话,只有real_name相关,最后他的邮件是,一个图片。无内鬼的手机。
5.考虑到手机,去搜他的sdcard里面的相关信息。能找到人脉的那个邮箱,但是始终没想到用txt文件形式打开才能看到名字。
6.后面的解题过程整个思路就完全串联起来了,就不多说了。
总的来说还是微微脑洞一点点。


(太菜了,进不去线下。
以后还要多学习。

推荐文章