SHA2017CTF Forensics100: WannaFly Writeup

My daughter Kimberly her computer got hacked. Now she lost all her favorite images. Can you please help me recover those images?

利申:這題比賽的時候不是我做的,我只是覺得好玩才寫 write-up。

題目給定了 kimberly.img,用  sudo mount kimberly.img /mnt 之後  ls -alR

發現有一堆圖片,以下是其中一張:

好吧,被加密了。去看看 .bash_history,發現以下記錄:

打開 ... 這個檔案,發現是個 Python script:

簡單一點:它把所有 .png 檔加密,並把加密的內容加到已被模糊的原圖上。如果用 text editor 把圖片打開,你會發現最後是一堆 Base64 encoding。

它使用 AES-CFB 加密,key 是唯一一個 input argument,而 IV 是用 get_iv() 生成出來的。

  1. Key 可以在 .bash_history  看到: Hb8jnSKzaNQr5f7p 。
  2. 可以看到檔案最後於 2017-06-21 00:14 更新,所以 seed 只可以是 60 個其中一個數字。

寫了一段 script 解密,得到 flag:  flag{ed70550afe72e2a8fed444c5850d6f9b} 

 


發表迴響