菠萝吹雪's Studio.

hfctf 取证misc

字数统计: 261阅读时长: 1 min
2020/04/20 Share

奇怪的组织

打开压缩包,出题人把部分c盘目录放在了压缩包里,首先发现安装了phpstudy,Thunderbird,xshell6,firefox这些软件
首先查看一下Thunderbird底下的邮件信息

1
Thunder\Users\bob\AppData\Roaming\Thunderbird\Profiles\7ev2i8k4.default-release\global-messages-db.sqlite

1.png
发现一堆emoji,点开短链接,是codemoji的网站,了解了一下加密过程,是一对一的单表替换加密,找到一个类似的项目可以爆破密钥,只能解密用codemoji加密过的数据,邮件里的其他emoji不能解密

1
https://github.com/pavelvodrazka/ctf-writeups/tree/master/hackyeaster2018/challenges/egg17

解密之后的文字说要找他的真实姓名,卡在这里一段时间,发现有SDCard目录,想到通讯录文件VCF,果然找到VCF文件,用VCFeditor解密得到通讯录。
2.png

在这里解密剩下的emoji

1
https://aghorler.github.io/emoji-aes/

解密得到密钥为GxD1r
3.png
同时提到在博客里放了点东西,于是找到密文

1
Thunder\phpstudy_pro\WWW\dede\a\Blog\2019\1130\3.html

4.png
aes解密得到flag
5.png

CATALOG
  1. 1. 奇怪的组织