總是把比賽想的太簡單，原來在哪裡總是藏龍臥虎，不能小瞧任何人，也別高看了自己。但是這是第一次參加不讓聯網的CTF比賽！

stay foolish,stay hungry

如來十三掌

通過這個題目，讓我聯想到與佛論禪和rot13加密，那麼開啟題目，下載下來一個docx文件。下面加粗的文字即是開啟文件的內容。

夜哆悉諳多苦奢陀奢諦冥神哆盧穆皤三侄三即諸諳即冥迦冥隸數顛耶迦奢若吉怯陀諳怖奢智侄諸若奢數菩奢集遠俱老竟寫明奢若梵等盧皤豆蒙密離怯婆皤礙他哆提哆多缽以南哆心曰姪罰蒙吶神。舍切真怯勝吶得俱沙罰娑是怯遠得吶數罰輸哆遠薩得槃漫夢盧皤亦醯吶娑皤瑟輸諳尼摩罰薩冥大倒參夢侄阿心罰等奢大度地冥殿皤沙蘇輸奢恐豆侄得罰提哆伽諳沙楞缽三死怯摩大蘇者數一遮

首先我們開啟與佛論禪，在其加密內容前加上佛曰：。如圖所下：

下面是這個解出來密文，顯然還有一層加密。
MzkuM3gvMUAwnzuvn3cgozMlMTuvqzAenJchMUAeqzWenzEmLJW9
猜測base64編碼，結果沒有解出來。聯絡題目猜測為rot13加密

解碼出來繼續base64解碼，在此之後我會寫相關的加密的詳解。

取證記憶體映象flag

這道題給了hint才知道是記憶體取證，但是因為自己起初沒在意相關工具的使用其實就是自己懶，那麼這次的慘敗正好彌補自己的不足。

volatility是專門進行記憶體取證的工具，對於windows系統比較友好，linux系統需要單獨的安裝相應的外掛。

-f  選擇所要取證的映象檔案```
進行映象識別
```text
imageinfo

我們可以發現volatility建議我們使用WinXPSP2x86，那麼繼續使用檢視當時的dump下來的記憶體中存在的程序

--profile  使用哪一種映象進行取證

pslist  檢視當時dump下來所執行的程序

然而根據題目，我們猜測應該在是某個檔案，那麼掃描目錄，其中為了查詢相關字元，進行了管道命令以及grep進行篩選。

filescan  檔案掃描

那麼下面我就進行匯出其相關檔案。

dumpfiles 匯出檔案

-Q   所要匯出檔案的地址

--dump-dir  匯出檔案所要存在那個目錄裡
 

clipboard    檢視剪下板的內容

於是嘗試是否這個剪下板的內容就是密碼，獲得flag

這個是真·取證，讓我感覺到這個CTF還是能夠提高我在安全的其他方面的。

流量包解密02

  果然還是見識少，所有的比賽的束手無措只是自己平時懶所付出的代價。
下載下來一看，檔案是.cap結尾的格式，那麼應該是WiFi所抓下來的包，而且題目提示密碼就是本機的MAC地址。那麼我們需要用到aircrack-ng工具解密流量。

先用wireshark開啟流量包可以看到我們MAC地址（無線>wlan流量）

aircrack-ng解密流量，有個坑密碼MAC地址大寫

-w   使用密碼字典

然後將key值匯入進去(首選項>protpcols>IEEE 802.11>Decryption key>wpa-key)

然後追蹤TCP流

最後檢視網址找到了flag

Referer

如果有同學需要上述題目，請聯絡我