Misc

可老师签到

公众号发送 flagflag 得到Flag

欢迎各位CTFer参加PolarCTF2025年春季个人挑战赛！🎉🎉🎉
这是flag：
flag{djianwvdvksh}

WinCS1

1.受控机器木马的回连的ip地址和端口是？（flag{ip:端口}）

在 Users/jhon 发现三个可疑文件 ，提取后将exe文件放到沙箱，找到回连ip和端口

flag{61.139.2.139:80}

WinCS2

2.分析流量信息，攻击者尝试修改的jhon账户密码是什么？（flag{password}）

观察前面提取的两张一样的jpg可以发现，文件末尾存在均分的zip数据，合并后解压，得到隐藏的 cobaltstrike.beacon_keys 文件，加载配置后解析流量

flag{P@ssW0rd@123}

WinCS3

3.分析流量当中，攻击者查看的文件中flag内容是什么？

得到flag

flag{31975589df49e6ce84853be7582549f4}

以及提取的压缩包密码

passkey is PolarCTF@2025Spring

WinCS4

4.攻击者在攻击过程当中修改过的注册表目录是什么？（结果进行MD5加密）

flag{87a76255029843238bf87091dd5a6c88}

WinCS5

5.受控机当中加密文件的内容是什么？

用第三题得到的密码解压后得到Flag

flag{fc51bd0633d256f2dcbe282efa205c3a}

WinCS6

6.受控机木马的自启动文件路径是什么？（结果进行MD5加密）

在任务计划程序中可以发现自启动文件

确定内容为自启动程序

得到路径

C:\Users\jhon\AppData\Local\Temp\power.bat

find

查看sheet1文件可以发现里面存在两种格式的格子，并且初始格是从 J1 开始的

用excel中的替换 将J1作为查询对象，将相同格式的格子替换成黑色，调整行列大小，得到二维码

扫码得到Flag

flag{11be65d59abc1b45ad8b9cc1e695a016}

旧日絮语

先修复宽高，得到了一个key

20240815

用binwalk进行提取，得到压缩包。解压后用key打开里面的word文档。将隐藏文本关闭，发现有一串很长的base64。

解码后继续为一个加密压缩包，在Word的属性里找到key

shenglingshidai

解压后得到一个exe，需要进行逆向（投喂）

pfsense1

1、从流量数据包中找出攻击者利用漏洞开展攻击的会话，写出其中攻击者执行的命令中设置的flag内容

NETA一把梭

base64解码得到flag

flag{c930a20729cd710c9ac2e1bcd36856e5}

pfsense2

2、攻击者通过漏洞利用获取设备控制权限，然后查找设备上的flag文件，写出flag的文件内容

火眼一把梭

flag{1b030dacb6e82a5cca0b1e6d2c8779fa}

pfsense3

在 conf/config.xml 路径下找到配置文件

得到flag

flag{bde4b5e2d0c43c177895f6f5d85beb97}