Misc
可老师签到
公众号发送 flagflag 得到Flag
欢迎各位CTFer参加PolarCTF2025年春季个人挑战赛!🎉🎉🎉
这是flag:
flag{djianwvdvksh}
WinCS1
1.受控机器木马的回连的ip地址和端口是?(flag{ip:端口})
在 Users/jhon 发现三个可疑文件 ,提取后将exe文件放到沙箱,找到回连ip和端口
flag{61.139.2.139:80}
WinCS2
2.分析流量信息,攻击者尝试修改的jhon账户密码是什么?(flag{password})
观察前面提取的两张一样的jpg可以发现,文件末尾存在均分的zip数据,合并后解压,得到隐藏的 cobaltstrike.beacon_keys 文件,加载配置后解析流量
flag{P@ssW0rd@123}
WinCS3
3.分析流量当中,攻击者查看的文件中flag内容是什么?
得到flag
flag{31975589df49e6ce84853be7582549f4}
以及提取的压缩包密码
passkey is PolarCTF@2025Spring
WinCS4
4.攻击者在攻击过程当中修改过的注册表目录是什么?(结果进行MD5加密)
flag{87a76255029843238bf87091dd5a6c88}
WinCS5
5.受控机当中加密文件的内容是什么?
用第三题得到的密码解压后得到Flag
flag{fc51bd0633d256f2dcbe282efa205c3a}
WinCS6
6.受控机木马的自启动文件路径是什么?(结果进行MD5加密)
在任务计划程序中可以发现自启动文件
确定内容为自启动程序
得到路径
C:\Users\jhon\AppData\Local\Temp\power.bat
find
查看sheet1文件可以发现里面存在两种格式的格子,并且初始格是从 J1 开始的
用excel中的替换 将J1作为查询对象,将相同格式的格子替换成黑色,调整行列大小,得到二维码
扫码得到Flag
flag{11be65d59abc1b45ad8b9cc1e695a016}
旧日絮语
先修复宽高,得到了一个key
20240815
用binwalk进行提取,得到压缩包。解压后用key打开里面的word文档。将隐藏文本关闭,发现有一串很长的base64。
解码后继续为一个加密压缩包,在Word的属性里找到key
shenglingshidai
解压后得到一个exe,需要进行逆向(投喂)
pfsense1
1、从流量数据包中找出攻击者利用漏洞开展攻击的会话,写出其中攻击者执行的命令中设置的flag内容
NETA一把梭
base64解码得到flag
flag{c930a20729cd710c9ac2e1bcd36856e5}
pfsense2
2、攻击者通过漏洞利用获取设备控制权限,然后查找设备上的flag文件,写出flag的文件内容
火眼一把梭
flag{1b030dacb6e82a5cca0b1e6d2c8779fa}
pfsense3
在 conf/config.xml 路径下找到配置文件
得到flag
flag{bde4b5e2d0c43c177895f6f5d85beb97}