logo
banner
Hi my new friend!

hacktb_应急响应SU_forensics

Scroll down

SU_forensics

参考链接 2025 XCTF国际网络攻防联赛-SUCTF分站赛 Misc Writeup - ⚡Lunatic BLOG⚡

注意过程

获取的按压缩包解压后是一个vm虚拟机文件,存在两个处理方式:

  • 直接使用vm虚拟机打开

  • 使用DiskGenius挂载虚拟机磁盘

    image-20250415131618493

DiskGenius恢复删除文件,可能可以找出对应的日志文件

1
/home/bkfish/.bash_history

如果无法使用windows打开可以尝试使用linux来查看

1
2
3
4
export HISTFILE=./.bash_history
history -c                        # 清空当前历史
history -r
history

网页镜像查询

https://web.archive.org/

有意思的解题过程

思路:将图片切割后分类成小图片,统计每个小图片的次数之后直接替换成对应的26个字母,也就是说把替换后的字母放入原来小图片的位置生成一个文本然后使用词频统计来解密出原来的明文

词频统计 + 逆向推理(谁不在)

1
https://www.quipqiup.com/

破解替换密码(存在一个密码本对每一个字母进行随即替换:A->N,B->C诸如此类,但是英语使用的时候字母的频率是固定的,因此存在词频分析)

输入值(存在27种除了26个字母外看空格也算,但是正常最多的应该就是空格)

1
2
3
4
5
6
7
8
9
10
11
12
A BCDEF GHIJKL MNOP QHRDST UAVW XDY
VLHU ZIHEDANDGHU DS WJH XOM OV YAFDST QHLK BAMANDZWDE PAR WOKZ
ZDR VLHSGDHU FDSTZ QOPHU WO AMONDZJ YK BCDWH IDWDVCN XOCZWZ
YAK XO HBCAN YK VOONDZJ LHEOLU MK ZONQDST ZDR ICGGNHZ A PHHF
JALLK DZ XOTTDST BCDEFNK PJDEJ ARHU GHS YOSFZ PDWJ AMCSUASW QAIOL
UCYIK FDMDWGHL XDSTNHZ AZ BCDROWDE OQHLVNOPZ
SKYIJ ZDST VOL BCDEF XDTZ QHR MCU DS GHZWVCN WPDNDTJW
ZDYINH VOR JHNU BCALWG UCEF XCZW MK PDST
ZWLOST MLDEF BCDG PJASTZ XCYIK VOR QDQDUNK
TJOZWZ DS YHYOLK IDEFZ CI BCALWG ASU QANCAMNH OSKR XHPHNZ
IHSZDQH PDGALUZ YAFH WORDE MLHP VOL WJH HQDN BAWALD FDST ASU PLK XAEF
ANN OCWUAWHU BCHLK AZFHU MK VDQH PAWEJ HRIHLWZ AYAGHU WJH XCUTH

输出值

1
2
3
4
5
6
7
8
9
10
11
12
A QUICK ZEPHYR BLOW VEXING DAFT JIM
FRED SPECIALIZED IN THE JOB OF MAKING VERY QABALISTIC WAX TOYS
SIX FRENZIED KINGS VOWED TO ABOLISH MY QUITE PITIFUL JOUSTS
MAY JO EQUAL MY FOOLISH RECORD BY SOLVING SIX PUZZLES A WEEK
HARRY IS JOGGING QUICKLY WHICH AXED ZEN MONKS WITH ABUNDANT VAPOR
DUMPY KIBITZER JINGLES AS QUIXOTIC OVERFLOWS
NYMPH SING FOR QUICK JIGS VEX BUD IN ZESTFUL TWILIGHT
SIMPLE FOX HELD QUARTZ DUCK JUST BY WING
STRONG BRICK QUIZ WHANGS JUMPY FOX VIVIDLY
GHOSTS IN MEMORY PICKS UP QUARTZ AND VALUABLE ONYX JEWELS
PENSIVE WIZARDS MAKE TOXIC BREW FOR THE EVIL QATARI KING AND WRY JACK
ALL OUTDATED QUERY ASKED BY FIVE WATCH EXPERTS AMAZED THE JUDGE

实际上输出结果有多种可能(结果需要根据每一行的字母数量手动换行),但是实际上每一种都对应一个算法并且都是不一样的结果,所以一般要用第一个,第一个的算法推荐度更高

1
O CHARK PEMZID VLUB FEQANG YOJT WAX JDEY SMERAOLAPEY AN TZE WUV UJ XOKANG FEDI COVOLASTAR BOQ TUIS SAQ JDENPAEY KANGS FUBEY TU OVULASZ XI CHATE MATAJHL WUHSTS XOI WU ECHOL XI JUULASZ DERUDY VI SULFANG SAQ MHPPLES O BEEK ZODDI AS WUGGANG CHARKLI BZARZ OQEY PEN XUNKS BATZ OVHNYONT FOMUD YHXMI KAVATPED WANGLES OS CHAQUTAR UFEDJLUBS NIXMZ SANG JUD CHARK WAGS FEQ VHY AN PESTJHL TBALAGZT SAXMLE JUQ ZELY CHODTP YHRK WHST VI BANG STDUNG VDARK CHAP BZONGS WHXMI JUQ FAFAYLI GZUSTS AN XEXUDI MARKS HM CHODTP ONY FOLHOVLE UNIQ WEBELS MENSAFE BAPODYS XOKE TUQAR VDEB JUD TZE EFAL COTODA KANG ONY BDI WORK OLL UHTYOTEY CHEDI OSKEY VI JAFE BOTRZ EQMEDTS OXOPEY TZE WHYGE
1
2
3
4
5
6
7
8
9
10
11
12
O CHARK PEMZID VLUB FEQANG YOJT WAX --> S
JDEY SMERAOLAPEY AN TZE WUV UJ XOKANG FEDI COVOLASTAR BOQ TUIS -->H
SAQ JDENPAEY KANGS FUBEY TU OVULASZ XI CHATE MATAJHL WUHSTS --> RY
XOI WU ECHOL XI JUULASZ DERUDY VI SULFANG SAQ MHPPLES O BEEK  --> T
ZODDI AS WUGGANG CHARKLI BZARZ OQEY PEN XUNKS BATZ OVHNYONT FOMUD --> J
YHXMI KAVATPED WANGLES OS CHAQUTAR UFEDJLUBS -->RZ
NIXMZ SANG JUD CHARK WAGS FEQ VHY AN PESTJHL TBALAGZT  --> O
SAXMLE JUQ ZELY CHODTP YHRK WHST VI BANG --> F
STDUNG VDARK CHAP BZONGS WHXMI JUQ FAFAYLI --> E
GZUSTS AN XEXUDI MARKS HM CHODTP ONY FOLHOVLE UNIQ WEBELS --> J
MENSAFE BAPODYS XOKE TUQAR VDEB JUD TZE EFAL COTODA KANG ONY BDI WORK --> H
OLL UHTYOTEY CHEDI OSKEY VI JAFE BOTRZ EQMEDTS OXOPEY TZE WHYGE --> N

仔细观察这个格式可以想到一个比较经典的Pangram(全字母句子):

1
The quick brown fox jumps over the lazy dog

因此把每一行中缺少的那个字母组合起来即可得到最后flag:SUCTF{HAVEFUN}

也就是每一行中都有26个字母,少的那个就是希望的字母

对于统计图片有着不同操作方式:

  • 哈希统计,对截取的图片求哈希,虽然在这里可以,因为都是有相同的图片合并来的,但是容错率太低

    • ✅ 优点

      (1) 对亮度/对比度变化鲁棒

      dHash(差异哈希):基于相邻像素的亮度差异,对整体亮度变化不敏感。

      pHash(感知哈希):基于频域变换(DCT),对缩放、轻微变形鲁棒。

      (2) 捕捉结构信息

      哈希方法能反映 边缘、纹理等结构特征,而不仅是颜色。

      (3) 计算速度快

      dHash 只需比较像素差异,比 RGB 聚类更快。

      ❌ 缺点

      对颜色变化不敏感:如果两块 颜色不同但结构相同,哈希值可能相似。

      需要调整相似度阈值:判断“两张图是否相同”时,需设定汉明距离(Hamming Distance)阈值。

  • 色差统计:通过欧氏距离阈值 THRESHOLD=0.1,将相似特征的小块归为同一组。SUCTF2025 WriteUp - Z3n1th Blog

    • 隐藏信息的规律性:图片中隐藏的信息(如字母或符号)可能通过颜色差异编码,分割后的小块颜色特征可区分不同字符。

    • 特征向量的简洁性:使用颜色均值能快速表征小块的整体颜色,便于后续聚类比较。

    • RGB 均值聚类的问题

      ✅ 优点

      简单直接:计算每个小块的 RGB 均值,易于实现。

      对颜色变化敏感:适合区分 颜色差异较大 的图片块。

      ❌ 缺点

      (1) 对亮度变化敏感

      如果两个图片块 内容相同但亮度不同(如一张较亮,一张较暗),RGB 均值可能差异较大,导致错误分类。

原图片:

lost_flag

github中的历史删除分支或者历史分支查找

需要注意的是,这个历史分支的查找必须是在库没有被删除的前提下,仅仅是删除了分支或者更新了提交记录

  1. repo -> activity

    image-20250415132247474

  2. 找到对应的历史分支 -> compare change

    image-20250415132454878image-20250415132548843

  3. 点击进入分支页面

    image-20250415132701196image-20250415132726403

其他文章
cover
hacktb_第八届西湖论剑_sharkp
  • 25/04/20
  • 00:00
  • 打靶日记
cover
hacktb_春秋杯_NetHttP
  • 25/04/18
  • 00:00
  • 打靶日记
© 2024 - 2025 aaaaaaaaamua
大佬来了就随便看看吧
目录导航 置顶
  1. 1. SU_forensics
    1. 1.1. 注意过程
    2. 1.2. 网页镜像查询
    3. 1.3. 有意思的解题过程
      1. 1.3.1. 词频统计 + 逆向推理(谁不在)
      2. 1.3.2. 对于统计图片有着不同操作方式:
    4. 1.4. github中的历史删除分支或者历史分支查找
请输入关键词进行搜索
  • to close