CTFShow-电子取证篇Writeup

news2024/11/23 15:39:30

CTFShow-电子取证篇Writeup

- 套的签到题：
- JiaJia-CP-1：
- JiaJia-CP-2：
- JiaJia-CP-3：

CTFShow 平台：https://ctf.show/

套的签到题：

JiaJia-CP-1：

这是部分人熟知的刘佳佳同学的电脑，她今年21岁已在公司里实习。但是佳佳经常摸鱼被老板训斥说：“你怎么摸得下去的”。因此佳佳还会经常将未完成的工作带到家里去完成(老板不留她加班属实有点离谱。但最近佳佳一天摸鱼的时间达到了25小时，这令老板非常不爽。于是🐕老板悄悄的植入了一个软件并在后台获取了佳佳电脑的内存信息。由于老板也是个懒🐕于是叫你来找一下老板想要的佳佳电脑的信息。作为十年老粉的CTFer们如果不是因为要找到flag一定不想帮老板来看佳佳的电脑内存信息吧，于是你也只能来帮助老板寻找佳佳电脑里的信息。电脑里面没有奇奇怪怪的东西，不要乱翻浪费时间
题目解压密码：Th1s_15_p@SsW0rd_u_n3ver_kn0w_b3f0re_BLB_St4rt
可通过验证压缩包md5值查看附件是否损坏：de3b3febacdfa20d255e1014cd204a35
共3大题，第1大题做出来再给你第2大题和第3大题的题目，哼哼

1.佳佳的电脑用户名叫什么(即C:\Users{name})
2.最后一次运行计算器的时间？(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)
flag格式为ctfshow{md5(A1_A2)}， format:ctfshow{ljj_2021-12-12_07:13:26}=ctfshow{c3cf135599d338093cbd2b578065be89}

python vol.py -f JiaJia_Co.raw imageinfo #获取镜像名称

在这里插入图片描述

python vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 filescan |grep "Users" #过滤用户看到了是JiaJia

在这里插入图片描述
可以使用timeliner用于查看时间线的工具搜索计算器单词calc.exe看到时间为12:15:47
要转为东八区UTC+8所以加8小时北京时间所以为：2021-12-10_20:15:47和上面的拼接在md5sum一下：JiaJia_2021-12-10_20:15:47

在这里插入图片描述

echo -n "JiaJia_2021-12-10_20:15:47" |md5sum

在这里插入图片描述

ctfshow{079249e3fc743bc2d0789f224e451ffd}

JiaJia-CP-2：

1.佳佳在公司使用了一款聊天软件，请问此软件的版本号为?
2.佳佳在网页上登录了自己的邮箱，请问佳佳的邮箱是？
flag格式为ctfshow{md5(A1_A2)} format:ctfshow{12.0.7.14098_JiaJia2233@qq.com}=ctfshow{15e6abc2c9bf12cbd805e72a95e66291}