Boston Key Party 2015 Heath Street 题解(Writeup)

Heath Street是Boston Key Party 2015的一道数字取证题目,我们得到了一个叫做“secretArchive.6303dd5dbddb15ca9c4307d0291f77f4”的文件,目标显然是将包含flag的文件恢复过来。

识别

首先我们使用file来确定文件类型


1

wiremask:~$ file secretArchive.6303dd5dbddb15ca9c4307d0291f77f4

secretArchive.6303dd5dbddb15ca9c4307d0291f77f4: Linux rev 1.0 ext4 filesystem data, UUID=035b2734-be8c-46dd-af8f-1b3523dcd9d2 (extents) (huge files)

诱饵

文件看上去是一个linux文件系统,我们把他挂载到系统来检查其内容


1

wiremask:~$ mount secretArchive.6303dd5dbddb15ca9c4307d0291f77f4 /mnt/tmp

里面包含了1986个文件,绝大部分是ASCII文本文件,都是《The Venona Story》里面的内容。“secret1337”文件看上去和其他不同,他是一个加密的ZIP文件,不幸的是他只是一个诱饵。

恢复文件

其实真正的目标是恢复删除过的文件,也许可以使用extundelete,他可以从ext4分区恢复删除的文件。


1

wiremask:~$ extundelete --restore-all secretArchive.6303dd5dbddb15ca9c4307d0291f77f4

这个命令产生了一个隐藏的新文件“.secret31337”,使用file命令查看后我们发现这是一个使用KGB Archiver 软件进行了3级压缩的文件

获取flag

最后一步是下载这个软件然后解压缩,最后我们获得了flag。

时间: 2024-10-05 05:21:16

Boston Key Party 2015 Heath Street 题解(Writeup)的相关文章

【codeforces ZeptoLab Code Rush 2015】ABCD题解

A. King of Thieves time limit per test1 second memory limit per test256 megabytes inputstandard input outputstandard output In this problem you will meet the simplified model of game King of Thieves. In a new ZeptoLab game called "King of Thieves&quo

BNU Training 2015 07 27 题解

[比赛链接]:click here~~ uva 12435 C. Consistent Verdicts [题目大意]:给你二维平面一些人的坐标,每个人手上都有一把枪,求全部人同时开枪后所有人听到枪声的次数的可能数目. [解题思路]:O(n^2)暴力枚举+unique 函数去重相邻元素.居然只跑了3ms,~~ 代码: <span style="font-size:14px;">// C #ifndef _GLIBCXX_NO_ASSERT #include <cass

[MySQL Tips]:如何删除unique key约束

[场景]: 假设最初创建了一个表bank,在street属性上添加了unique约束. create table branch( branch_name char(30) not null primary key, city varchar(20), street varchar(20) unique ); 表结构如下: [问题] 后来发现在同一个street上可以出现多个支行,也就是说street不应该是unique的.此时怎样删除unique约束呢? [方法] alter table bra

Linux系统编程——进程间通信:共享内存

概述 共享内存是进程间通信中最简单的方式之一.共享内存允许两个或更多进程访问同一块内存,就如同 malloc() 函数向不同进程返回了指向同一个物理内存区域的指针.当一个进程改变了这块地址中的内容的时候,其它进程都会察觉到这个更改. 共享内存的特点: 1)共享内存是进程间共享数据的一种最快的方法. 一个进程向共享的内存区域写入了数据,共享这个内存区域的所有进程就可以立刻看到其中的内容. 2)使用共享内存要注意的是多个进程之间对一个给定存储区访问的互斥. 若一个进程正在向共享内存区写数据,则在它做

Linux系统编程——进程间通信:消息队列

消息队列提供了一种在两个不相关的进程之间传递数据的简单高效的方法,其特点如下: 1)消息队列可以实现消息的随机查询.消息不一定要以先进先出的次序读取,编程时可以按消息的类型读取. 2)消息队列允许一个或多个进程向它写入或者读取消息. 3)与无名管道.命名管道一样,从消息队列中读出消息,消息队列中对应的数据都会被删除. 4)每个消息队列都有消息队列标识符,消息队列的标识符在整个系统中是唯一的. 5)消息队列是消息的链表,存放在内存中,由内核维护.只有内核重启或人工删除消息队列时,该消息队列才会被删

angularJS ng-grid 配置

以下是按我的需求修改的 简单的demo  可以自己扩展 HTML: <!DOCTYPE html> <html class="no-js" ng-app="test"><!--<![endif]--> <head> <meta charset="utf-8"> <meta content="IE=edge,chrome=1" http-equiv=&quo

【转】JS组件系列——Bootstrap组件福利篇:几款好用的组件推荐(二)

前言:上篇 JS组件系列——Bootstrap组件福利篇:几款好用的组件推荐 分享了几个项目中比较常用的组件,引起了许多园友的关注.这篇还是继续,因为博主觉得还有几个非常简单.实用的组件,实在不愿自己一人独享,没办法,谁让博主这么爱分享呢~~ 本文原创地址:http://www.cnblogs.com/landeanfen/p/5603790.html 七.多值输入组件manifest 关于文本框的多值输入,一直是一个比较常见的需求,今天博主推荐一款好用的多值输入组件给大家,不要谢我,请叫我“红

Haproxy Configure File

---------------------- HAProxy Configuration Manual ---------------------- version 1.5.11 willy tarreau 2015/02/01 This document covers the configuration language as implemented in the versionspecified above. It does not provide any hint, example or

【与奥斯丁的二十种邂逅】-- 得克萨斯首府的小情调城市游 (介绍你在奥斯丁必须做的,推荐做的,和做了你就牛掰了的20件事)

明年1月底应该会去奥斯丁参加AAAI会议,偶尔看看攻略.嗨森~ 原文转自: http://blog.renren.com/share/28765132/15631046000 作者 :  张诺娅 (图片来自 @走遍美国(601684562) ) 开篇要感谢一下 @走遍美国(601684562) 小组,小站,和公共主页的老大,美国旅游达人 @朱周明相(245804183) 船长童鞋在奥斯丁的盛情款待.初到奥斯丁的时候,船长语重心长地说:我接待过这么多的人来玩奥斯丁,为神马就没有人写一篇关于奥斯丁的