Sonh's Blog

上一篇博客给大家分享了如何安装Volatility3，这一篇我就给大家再分享一下如何安装Volatility2.6并使用~ Volatility2.6安装 下载地址：访问 GitHub releases 页面或直接下载 zip： 官网/GitHub: https://github.com/volatilityfoundation/volatility/releases/tag/2.6.1 点击下载 volatility_2.6_win64_standalone.zip 操作步骤： 下载并解压 volatility_2.6_win64_standalone.zip 到指定路径，例如D:\volatility\volatility_2.6_win64_standalone。 打开 PowerShell，进入该目录： 1cd D:\volatility\volatility_2.6_win64_standalone 接着按照Volatility2.6的命令格式操作就欧克了 Volatility2.6的命令格式在 CTF 比赛中，Volatility 2...

前置准备 安装 Python: 确保你安装了 Python 3.8 或更高版本。 下载地址：python.org 重要：在安装时，务必勾选 “Add Python to PATH” 选项，否则后续命令无法运行。 验证安装: 打开命令提示符（CMD）或 PowerShell，输入：1python --version 如果显示版本号，则安装成功。 安装 Volatility 3打开 CMD 或 PowerShell，输入以下命令： 1pip install volatility3 如果下载速度慢，可以使用国内镜像源： 1pip install volatility3 -i https://pypi.tuna.tsinghua.edu.cn/simple 安装完成后，输入以下命令检查是否成功： 1vol -h 如果输出了帮助信息，说明安装成功。 报错问题安装到这个地方，你肯定已经报出来了什么系统找不到指定的驱动器之类的，接下来就教大家怎么解决这个问题 方案一：手动查找并运行生成的脚本pip 安装后会在 Scripts 目录下生成可执行文件。根据您的 Python 路径，脚本...

被偷走的文件拿到流量包，在Wireshark里面搜索字符串flag，可以看到一条流量包含flag.rar，但是里面并没有什么东西，只是一些文本 既然我们已经知道传输了一个rar压缩包，那我们就直接搜rar字符串，找到了rar包的真实数据，导出后用cyberchef转换成压缩包 打开发现压缩包被加密，暴力破解后拿到密钥5790 打开压缩包拿到flag 刷新过的图片刷新？jpg？会不会是F5隐写呢？ 在F5工具包中放入题目所给的jpg，在运行命令行指令 1java Extract Misc.jpg 打开提取出来的文本文档，发现其实是一个压缩包，改了后缀名后发现压缩包被加密了，其实是伪加密 在010里面改完之后打开拿到flag 菜刀666过滤http流，发现有好多post，那就直接过滤出post 1http.request.method == POST 在滤出结果中发现有一条流量包的大小比其他的包大好多，追踪一下该包，发现传输了一张jpg图片，将数据以raw导出转成图片 1FFD8FFE000104A46494600010101007800780000FFDB004300...

前言接下来的几篇博客都是我做题总结，算是个人题集吧。题目网址BUUCTF在线评测，有些题目非常简单或者可以用一把梭工具直接解出来，在这里我就不提现出来了。 二维码本来以为扫码就能得到flag，看来我想多了，扫码只得到secret is here。接着用010Editor打开，哦豁！发现有压缩包！ 直接将文件后缀改成.zip，发现不能正常打开，那就用binwalk把压缩包提取出来 1binwalk -e QR_code.png 压缩包提取出来后发现是加密的，尝试暴力破解密码 爆破出来密码是7639，拿到flag是CTF{vjpw_wnoei} LSB既然题目是LSB，那我们直接用stegsolve打开图片，查看各个通道，发现blue0、green0、red0三个通道图片上部都有东西，尝试提取数据 提取数据后发现有一张png，把png提取出来后发现是二维码 扫描二维码得到了flag 爱因斯坦题目给了我们一张爱因斯坦的帅照，我们在010Editor里面可以发现图片末尾存在压缩包 我们可以用binwalk或者foremost提取出来压缩包，还可以直接把十六进制复制下来手动提取，...

引言图片题在Misc中具有极其重要和基础性的地位，可以说是Misc的“半壁江山”和入门必修课。图片题是检验选手信息搜集、工具使用和跨领域联想能力的试金石。熟练掌握图片题的相关技术，是CTF参赛者，尤其是Misc方向选手的一项核心能力。接下来就让我来分享一下传统图片题的做题基本思路（传统！传统！新题的出题鬼知道他耍什么花样）。 一把梭很多基础的图片题会把flag藏在浅显的数据层，这时候只要把图片丢给随波逐流就可以非常容易地拿到flag 例如：ctf.show这道题只需要把图片放进一把梭工具，它就会自动检索出flag 010Editor同样是上一道题，我们也可以用16进制工具打开手动检索flag相关信息 不难看出，在文件的末尾，我们看见了要找到的flag Binwalk&foremostbinwalk题目链接：ctf.show 拿到附件并经过以上两个步骤后均没有发现flag，可以使用binwalk对图片进行分析，看图片是否含有附加文件 可以看到图片中还有另外一张png图片，使用binwalk -e尝试提取那张图片 但是binwalk并没有成功提取到我们所需要的那张pn...

被加密的生产流量题目链接：[CISCN 2023 初赛]被加密的生产流量 | NSSCTF 某安全部门发现某涉密工厂生产人员偷偷通过生产网络传输数据给不明人员，通过技术手段截获出一段通讯流量，但是其中的关键信息被进行了加密，请你根据流量包的内容，找出被加密的信息。得到的flag使用NSSCTF{}格式提交。 初步分析拿到附件看名称为modbus.pcap，再打开流量包看其内容，发现有很多modbus协议，于是过滤modbus协议 发现modbus协议中length为73和66的伴随出现，并且发现每个length=66的流量后面都有两个可疑字符 可疑字符提取这里我采用的是人力提取，也可以写写脚本提取，不过脚本运行可能会遇到tshark路径不正确报错的问题，报错问题可以看看这个博主彻底解决 pyshark 库 TShark not found_pyshark.tshark.tshark.tsharknotfoundexception: tsh-CSDN博客 其实追踪tcp流就可以直接看到所有可以字符 提取出来的字符如下 1MMYWMX3GNEYWOXZRGAYDA==...

粗略扫视 用Wireshark打开流量包，在过滤器中输入http进行筛选，发现并没有什么特别明显的flag相关信息，只是一些普通的请求 进一步搜索并进行追踪流过滤ftp协议请求，发现操作者进行了一次登录请求，然后登录成功，在这些请求里面我们发现了README.txt文件，还有一个secret.zip，盲猜.txt文件里面有.zip的密钥，那我们就把这两个文件都提取出来。 选择tcp追踪流，并导出.zip的原始数据（好明显的504b啊） 1504b0304140001000000386e2e57dcdeb18b320000002600000008000000666c61672e74787479c647b151652cce18a0efa4e90dbb3bfa84b67de8adc4218a4de1df8abf08097c449a7ae84b15b903d4b3df9ac1866fc323504b01023f00140001000000386e2e57dcdeb18b320000002600000008002400000000000000200000000000000066...

Hexo 和 GitHub Pages 搭配是搭建个人博客非常受欢迎的选择，它能让你免费拥有一个可高度定制的网站。下面这份保姆级教程会带你一步步完成搭建。 希望这份详细的指南能帮助你顺利搭建起自己的小天地！祝你玩得开心！ 🛠️ 环境准备与检查在开始之前，我们需要准备好“施工场地”，即安装必要的软件并确认它们正常工作。 安装 Node.js 作用：Hexo 是基于 Node.js 的博客框架，需要它来运行。 步骤：访问 Node.js 官网下载 LTS（长期支持）版本并安装。安装时一路默认设置即可。 检查步骤：安装完成后，打开命令提示符或 PowerShell，输入以下命令，如果显示版本号则说明安装成功。12node -vnpm -v 安装 Git 作用：用于版本控制以及将你本地写好的博客代码部署到 GitHub。 步骤：访问 Git 官网下载并安装，使用默认选项即可。 检查步骤：在命令行中输入以下命令，显示版本号即成功。1git --version 🚀 创建本地博客并预览环境准备好后，我们就可以在本地创建并预览博客了。 安装 Hexo CLI：在命令行中执行...