MISC
下载文件后,进行分析
往下划看见smb
最开始以为是通过smb协议下载的文件
找半天没发现,往前翻了翻,看见了flag
存储为原始数据
通过上述分析发现开头是pk,保存为zip压缩包
发现需要密码
感觉是伪加密
使用工具一把梭
再次打开压缩包就发现了flag
证实了伪加密
下载文件
发现是内存文件
直接工具分析volatility
常规分析一波
查看镜像信息
分析进程
发现没有异常
查看cmd历史
看到创建用户这个关键点
先留意
然后查看关键字
发现有个zip
直接导出到本地
改为zip
以为是伪加密,工具梭了好几次,,编辑器并没发现0900,算是踩坑了
发现不对
想到上方留下的密码
尝试123456789不对
再尝试(ljmmz)ovo
得到flag
web
刚开始点进去以为是环境出了问题
后面裁判解释环境即是如此
看网页存在405报错
以为是请求方式有问题
burp抓包改为POST
发现还是没变化
猜测robots.txt flag.txt index.html
一连串下来发现没啥用
这时发现缺少了http请求字段x-forwarded-for
加上尝试
发现页面出现了flag