不常见的内存与流量取证 -- WMCTF 2022 1!5!

luozhenni

​
不常见的内存与流量取证 -- WMCTF 2022 1!5!
原文链接：不常见的内存与流量取证 -- WMCTF 2022 1!5!
e*h 衡阳信安 2022-09-16 06:00 发表于山东

start
刚刚拿到这道题的时候发现这道题目的内存镜像非常特殊，Misc 取证常用的软件诸如 取证大师 和 vol 都搞不定这种内存镜像。（当然因为我电脑不存在 python2 环境，所以导致我手上的 vol 实际是 vol3， 这还是蛮多区别的，所以我一开始以为我的 vol 锅了。后来问了问同队的师傅， 确实是 vol 和 取证都爆炸了 找不到 Profile 也不能确定类型）
所以面对如此棘手的一个问题，我想起了万年前看到一个神器，尸解 （Autopsy）。

当时我的师傅找了官方的 training 课程的优惠券 (其实就是因为疫情打折直接白送) 不过这是题外话了
官网为 https://www.autopsy.com 先进行一个装

windows 的版本更加阳间一点 但是我这边用的是 web 界面版本的
macOS 直接 brew install autopsy 就行
直接运行 autopsy 然后根据命令行输出打开 https://localhost:9999/autopsy

当然不出意外，就算是 “尸解” 确实也识别不出来镜像类型，如果可以识别和处理镜像类型， autopsy 将会变成一个更为强大的工具，某种意义上是真正的取证大师。(没有碰瓷的意思)
因此最后只能使用最基础的关键词搜索功能，当然这都是后话了。
题目附件快捷方式: https://github.com/wm-team/WMCTF2022

思路达到取证最高峰 - 流量
内存不是下来就能直接打开的 所以我们先 wireshark 看看流量了，可以看到前面是一堆 quic 流量，看起来是加了密的，可以留意一下。接着是明显的 HTTP 流量 GET 了一个 flag 同时升级协议到了 websocket。
接下来 都是客户机发往服务端的 WebSocket 流量，ws 第一个包里内容是 flag，然后接下来的包似乎不是明文，可以猜测是某种特殊的加密或者编码的内容，没那么简单。不过可以先保存一下。
把过滤条件设置为 websocket 进行分组导出 可以直接导出成 json 格式
因为我更加熟悉命令行操作所以进行如下的剪切
此外 命令 jq 是一款 json jq 解析器

1. cat tc.json|jq '.[]._source.layers."data-text-lines"' | awk "NR % 3 == 2"|cut -d """ -f 2
   
2. 
   
3. # 这时候得到的就是下面这样的密文
   
4. flag
   
5. SlAZT80ZTIXZTIcZSl9ZSlTZT80ZTIXZTIwC
   
6. Sx0ZTf1ZTIuZSx0ZSluZSthZTf1ZTIuZSxnC
   
7. SthZStQZSt1ZT81ZT8HZSlXZStQZSt1ZT8/C
   
8. Sl0ZSlQZSx6ZT8HZS46ZSlTZSlQZSx6ZT8gC
   
9. SxuZT86ZTIcZTfQZTfQZTfQZT86ZTIcZTfPC
   
10. TI0ZT81ZSx6ZT8HZSxcZSlhZT81ZSx6ZT8gC
    
11. SxXZTIXZTIhZSl0ZSxLZT80ZTIXZTIhZSlnC
    
12. SxHZT8HZSxkZSt1ZT8QZSt1ZT8HZSxkZSt/C
    
13. SxXZTIBZSl0ZSlBZSlQZT8XZTIBZSl0ZSlzC
    
14. StHZStQZSluZTIuZSl9ZSxkZStQZSluZTINC
    
15. SlXZSlkZSxrZS40ZSthZTIBZSlkZSxrZS4nC
    
16. TIuZT8QZS40ZT81ZTIXZTIXZT8QZS40ZT8/C
    
17. Sl6ZSx6ZSl9ZSthZT8QZTI9ZSx6ZSl9ZStGC
    
18. SxTZTIBZTIXZTf1ZT8XZSlkZTIBZTIXZTf/C
    
19. SlkZSlBZS4LZS46ZTI9ZSlQZSlBZS4LZS45C
    
20. T8AZSlAZSlhZSxhZSlTZS40ZSlAZSlhZSxGC
    
21. TIcZSxrZSlAZSl9ZSlhZSxhZSxrZSlAZSl3C
    
22. StHZStTZT8XZTI6ZSxkZS46ZStTZT8XZTI5C
    
23. SxTZT8QZT8XZS46ZSlhZSlQZT8QZT8XZS45C
    
24. TIcZSxrZS4LZStQZSlBZS4XZSxrZS4LZStPC
    
25. StHZSx6ZSluZT8TZSlQZSx0ZSx6ZSluZT8SC
    
26. SxuZTIXZSxcZTf1ZSluZSxkZTIXZSxcZTf/C
    
27. StAZSx6ZSl0ZSluZSl9ZT86ZSx6ZSl0ZSlNC
    
28. T81ZS40ZS4XZTIcZSt1ZTIBZS40ZS4XZTIwC
    
29. T8LZTIcZSxcZT86ZSxrZSl6ZTIcZSxcZT85C
    
30. StHZS4XZSlkZSluZT8HZS46ZS4XZSlkZSlNC
    
31. StQZTIuZSxhZSlAZSxcZSxBZTIuZSxhZSlbC
    
32. SlLZSt1ZSthZS4XZSl6ZTI9ZSt1ZSthZS4WC
    
33. Sl0ZT8TZStQZTfQZSxrZT86ZT8TZStQZTfPC

复制代码

流量里基本就只有这些信息了

还是看看远处的内存吧 家人们
autopsy
跟着网上教程 直接创建案件 case
然后编写受害者信息 host
然后以链接方式导入 内存镜像
这样一个初始化的分析就完成了
内存 fake flag
既然他说内存里存在假 flag 那么我们大可搜索 WMCTF{ 这类字符串， 假 FLAG 多半是在测试的时候留下的内容，因此可以想到这类内容边上可能就是我们可以找的代码段，确实 我们可以在多处找到这个字符串，可以发现在 flag 出现的同时伴随着不少 Go 源码。我们可以找到相关的服务端收信逻辑。
如下

1. package main
   
2. 
   
3. import (
   
4.     "github.com/gin-gonic/gin"
   
5.     "github.com/gorila/websocket"
   
6.     "net/http"
   
7. )
   
8. 
   
9. var f1ags = "WMCTF{WebSOcket_And"
   
10. var upGrader = websocket.Upgrader{
    
11.     CheckOrigin: func(r *http.Request) bool {
    
12.         return true
    
13.     },
    
14. }
    
15. //...flag
    
16. func flag (c *gin. Context) {
    
17.     //......get.........webSocket......
    
18.     ws,err := upGrader.Upgrade(c.Writer, c.Request, nil)
    
19.     if err != nil {
    
20.         return
    
21.     }
    
22.     defer ws.Close ()
    
23.     //.........flags.........
    
24.     for {
    
25.         //......ws.......
    
26.         mt, message, err := ws.ReadMessage()
    
27.         if err ! = nil {
    
28.             break
    
29.         }
    
30.         if string (message) == "flag" {
    
31.             //.....flags
    
32.             for i:= 0; i< len (flags) ; i++ {
    
33.                 ch := string(flags[i])
    
34.                 err : = ws. WriteMessage (mt, []byte (ch))
    
35.             //sleep......
    
36.             //time. Sleep (time. Second)
    
37.             if err != nil {
    
38.                 break
    
39.             }
    
40.         }
    
41.     }
    
42. }
    
43. func main() {
    
44.     bindAddress := "localhost:2303"
    
45.     r := gin. Default ()
    
46.     r.GET("/flag", flag)
    
47.     r.Run(bindAddress)
    
48. }

复制代码

不过只有一半的 FLAG 而且程序逻辑似乎和我们需要的逻辑并不相符。(这里看起来是服务端，而且没有我们需要的加密解密算法) 不过就这些地方已经可以看到一些端倪了
探寻 websocket 和 key
接下来有两条思路

• 搜索 websocket 关键字尝试寻找那段 web 通讯中的具体信息 肯定可以找到对应代码
• 搜索 key 关键字 尝试破解 QUIC 流量拿到其他的 key
  

在 autopsy 的 数据分析中的关键词搜索可以顺带获取对应字符串在镜像中的位置

联合使用关键字搜索(Keyword Search) 和基于 Offset (Data Unit)的搜索
你先会发现可能被破坏的内存区块，但是没关系，肯定有完整的。

有些会有 RgU.... 这种坏字符

接下来我们会大量看到 (除了上面 go 部分的代码) 诸如下面代码块的内容
another go
关键字 key

1. "fmt"
   
2. "github.com/lucas-clemente/quic-go/http3"
   
3. "log"
   
4. "net/http"
   
5. "os"
   
6. )
   
7. 
   
8. func HelloHTTP3Server(w http.ResponseWriter, req *http.Request) {
   
9. fmt.Printf("client from : %s\n", req.RemoteAddr)
   
10. fmt.Fprintf(w, "_HTTP3_1s_C000L}\n")
    
11. }
    
12. 
    
13. func main() {
    
14. 
    
15. mux := http.NewServeMux()
    
16. mux.Handle("/", http.HandlerFunc(HelloHTTP3Server))
    
17. 
    
18. w := os.Stdout
    
19. 
    
20. server := http3.Server{
    
21.   Addr: "127.0.0.1:18443",
    
22.   TLSConfig: &tls.Config{
    
23.    MinVersion:   tls.VersionTLS13,
    
24.    MaxVersion:   tls.VersionTLS13,
    
25.    KeyLogWriter: w,
    
26.   },
    
27.   Handler: mux,
    
28. }
    
29. 
    
30. err := server.ListenAndServeTLS("./my-tls.pem", "./my-tls-key.pem")
    
31. if err != nil {
    
32.   log.Fatal(err)
    
33. }
    
34. }
    
35. ..........................L...............L...i............................my-tls.pem......-----BEGIN CERTIFICATE-----
    
36. MIIDazCCAlOgAwIBAgIUAuwgrK8T+kosTHW9KW11AvscB88wDQYJKoZIhvcNAQEL
    
37. BQAwRTELMAkGA1UEBhMCQVUxEzARBgNVBAgMClNvbWUtU3RhdGUxITAfBgNVBAoM
    
38. GEludGVybmV0IFdpZGdpdHMgUHR5IEx0ZDAeFw0yMjA3MTkwODUyNTFaFw0yNTA3
    
39. MTgwODUyNTFaMEUxCzAJBgNVBAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEw
    
40. HwYDVQQKDBhJbnRlcm5ldCBXaWRnaXRzIFB0eSBMdGQwggEiMA0GCSqGSIb3DQEB
    
41. AQUAA4IBDwAwggEKAoIBAQD62iNNKuGH54IDYqbg00gD/gbO9wq+UwmiYBXzYqnn
    
42. K9lTWvOEqlNvYNLhAoALcRrCkpqhw3ks/dhKqPCbDI3bxbQT3vZrvaRkP/DO1SnX
    
43. jmCt5yExDYXhPxNF+lWHs8TP7SjDE6sC6h+lEhYaQsKd/wYhw54NW/USrUR685r5
    
44. M1MfVg0+VOu5fqhwbOkn9lmwJaEOAtTIBAyG1jPFlt5LsBshe+2CXEG1cbaCDInB
    
45. 6Jz6IZ7zN9KQ0YrWY8y2iw0toVODuNZnU7pSeKdWRwX6eYU3NA+QaTYl2zpl939b
    
46. jVtNKWlY+DiUFroTucph9W4jWvzu9Yp9uGEO46VvCV+tAgMBAAGjUzBRMB0GA1Ud
    
47. DgQWBBSzrkF13VZfMqO3s/1K1gogeETXdTAfBgNVHSMEGDAWgBSzrkF13VZfMqO3
    
48. s/1K1gogeETXdTAPBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEBCwUAA4IBAQD0
    
49. /EZXhjszp2KHnekh8Ktz66pIkxRa9ErZCbQt/7os4jCdj77OhcFYQ4O/mhdOeQb4
    
50. zvKlb0sAxsLcJiK1WB9cIcG+j4Kmrp6vJ8nRlI2YMBi8dX/MNDgBgXw/DdeuISyU
    
51. K05t26oQJxYfZ36zT2k2NVUdnvqAXTbk4IGxnfGRJJXZ/70iBWJYXEaB8UKeTXrn
    
52. VSefJKbO9v0CmuxWQxP363nB/e5f+l73ELTO3bs7qqyz9FHqZuR8cCo5YJ05c8G+
    
53. CLuL4JtyOX+7Cd+pGtadc54XtNYWw35CbBkHzhKwtU/+c24eM+SXV1AakzrSHHE3
    
54. 1p80nnkmmO4f9yG5CZ8/
    
55. -----END CERTIFICATE-----
    
56. ..........................L...............L.@..............................my-tls-key.pem......-----BEGIN RSA PRIVATE KEY-----
    
57. MIIEpAIBAAKCAQEA+tojTSrhh+eCA2Km4NNIA/4GzvcKvlMJomAV82Kp5yvZU1rz
    
58. hKpTb2DS4QKAC3EawpKaocN5LP3YSqjwmwyN28W0E972a72kZD/wztUp145grech
    
59. MQ2F4T8TRfpVh7PEz+0owxOrAuofpRIWGkLCnf8GIcOeDVv1Eq1EevOa+TNTH1YN
    
60. PlTruX6ocGzpJ/ZZsCWhDgLUyAQMhtYzxZbeS7AbIXvtglxBtXG2ggyJweic+iGe
    
61. 8zfSkNGK1mPMtosNLaFTg7jWZ1O6UninVkcF+nmFNzQPkGk2Jds6Zfd/W41bTSlp
    
62. WPg4lBa6E7nKYfVuI1r87vWKfbhhDuOlbwlfrQIDAQABAoIBAQD16xPgesFOcm7K
    
63. 0tO2ZGqdP1N9YkJuAwnW3UunpnnZ3urXBLrmu/O/pLQXUlQk42TQith87RzGNrTr
    
64. vGLkHZKUeWTodhQt22RlwylYGzFB2Jp+4a9wX0l4YFWMrLVcq6euD1l+pLFp0gvj
    
65. z69LX1dbfL+OKi+v+Q5wmNwhjN/Im89qAxTHAKUlGQGy7cZq0aewVkF7qPrV44tA
    
66. 4uUk2h36k+MFELUeDBAhegH6todAnjI+Ec72OzhtDDEF5hHM+1e3fsngz2RdfMQM
    
67. gnHm5fdb4yVGOV5K1HqVpDqKyCLIr0JvKNf/5HktJ/+lSlliL/mrx3KQCRt1DWN9
    
68. O8EBaMgBAoGBAP7GYPtzwXwn5bDmkD+//ejZm5SDq1EZ6ZSIttHl2OfbFwU45X0N
    
69. cMyuBXcHkiaVuD2GXiKmy5W4xh3WRPF4o7qMLe4dcUbTqqwc6nnY+2fLY71TMM9a
    
70. MjRQuQHnwQsMrCVYiv0/50eKwglc61ogsv+WmFxfYZtjnGMJP6M6xtlBAoGBAPwO
    
71. 7iAQTNAZhrTefwDXSGirc1BVg0FBB05woVm/Gn0hkZqrl9VJd6g7gCAHh4tndR54
    
72. j5IR67eROoPY+tZSF8Gc/ne66BH2yq3Xbh3E281ajft+RLUFuD6k+Rlq2l91J72x
    
73. H46mKl/toB9ukPxl0P/8vOViXMYVlFsPHGnAEB9tAoGBAJ/Op36SOUc7b2Pq+4hB
    
74. UW8BMAmUHZ2dd1pn9uTqG4gzcNkhuzEZgSuh7GOhKBdzykEtS1bI8OJVKFAG2u/s
    
75. ECcvTpARf8BBfMjAyoLri6areUCEMhWeKeeOyr1bNUdNB53VUDlSICxL6TIeSrIZ
    
76. 2K1hNOicG4lwjePBJV2pvJkBAoGAVERRi9qnM3M1O8aewxM2G/glxxevl+M7pBe3
    
77. eZ+QJYFRgloXmrDDFjU+MncR86MU3qkDppvjKC2fWHDz+y7azlnEIRcVetv9Cn1Z
    
78. TQ6BRXgeu5ONOM++twLEXKECfKNYM+zBVhlrVULGI3v9cMRBSTOfmzh1N6wDOyYk
    
79. I56YRUkCgYBhPvpgPohOzEukToo64UtbmOK25pKJBHfhMH/jGglfFUnzAURXPC4b
    
80. 7HIxMSGd5A0EjX34M7CA4rRHXcF7Sxc6X4eP43FoZabey6di+rIvm6F/pQFRTT/u
    
81. uSNIJWzf9lF5rbqKMxPlHVJLvlnIVZNSjUV2FIdCe4LR55qzByOOvQ==
    
82. -----END RSA PRIVATE KEY-----

复制代码

这里有 key 也能看到似乎是后半个 flag 的变量
JS

1. var ws = new WebSocket("ws://localhost:2303/flag");  
   
2. 
   
3. ws.onopen = function(evt) {  
   
4.     console.log("Connection open ...");  
   
5.     ws.send("flag");  
   
6. };  
   
7. 
   
8. ws.onmessage = function(evt) {  
   
9.     var rstr = randomString(5)  
   
10.     n = evt.data  
    
11.     res = n.padEnd(9,rstr)  
    
12.     s1= encrypto(res,15,25)  
    
13.     f1 = b1.encode(s1)  
    
14.     ws.send(f1)  
    
15.     console.log('Connection Send:'+f1)  
    
16. };  
    
17. 
    
18. ws.onclose = function(evt) {  
    
19.     console.log("Connection closed.");  
    
20. };  
    
21. 
    
22. 
    
23. function Encode() {  
    
24. 
    
25.   _keyStr = "/128GhIoPQROSTeUbADfgHijKLM+n0pFWXY456xyzB7=39VaqrstJklmNuZvwcdEC";
    

复制代码

这里基本已经可以看到 加密的逻辑了 基本可以猜测我们需要的内容就在这里

找到完整的代码可以试试用关键字 _keyStr

接下来摸到相关的内存 Unit 号之后 在该数字后面稍微减少 10 左右
然后使用 Data Unit 分析附近内存号 ± 20 个内存单元的内容
接着我们可以摸到如下的代码 大约在 内存编号 987382 处

1. <script>  
   
2. 
   
3. function randomString(e) {  
   
4.     e = e || 32  
   
5.     var t = "ABCDEFGHJKMNPQRSTWXYZabcdefhijkmnprstwxyz2345678",  
   
6.     a = t.length,  
   
7.     n = "";  
   
8.     for (i = 0; i < e; i++) n += t.charAt(Math.floor(Math.random() * a));  
   
9.     return n  
   
10. }  
    
11. 
    
12. 
    
13. function encrypto( str, xor, hex ) {  
    
14.   if ( typeof str !== 'string' || typeof xor !== 'number' || typeof hex !== 'number') {  
    
15.     return;  
    
16.   }  
    
17. 
    
18.   let resultList = [];  
    
19.   hex = hex <= 25 ? hex : hex % 25;  
    
20. 
    
21.   for ( let i=0; i<str.length; i++ ) {  
    
22.     let charCode = str.charCodeAt(i);  
    
23.     charCode = (charCode * 1) ^ xor;  
    
24.     charCode = charCode.toString(hex);  
    
25.     resultList.push(charCode);  
    
26.   }  
    
27. 
    
28.   let splitStr = String.fromCharCode(hex + 97);  
    
29.   let resultStr = resultList.join( splitStr );  
    
30.   return resultStr;  
    
31. }  
    
32. 
    
33. var b1 = new Encode()  
    
34. 
    
35. var ws = new WebSocket("ws://localhost:2303/flag");  
    
36. 
    
37. ws.onopen = function(evt) {  
    
38.     console.log("Connection open ...");  
    
39.     ws.send("flag");  
    
40. };  
    
41. 
    
42. ws.onmessage = function(evt) {  
    
43.     var rstr = randomString(5)  
    
44.     n = evt.data  
    
45.     res = n.padEnd(9,rstr)  
    
46.     s1= encrypto(res,15,25)  
    
47.     f1 = b1.encode(s1)  
    
48.     ws.send(f1)  
    
49.     console.log('Connection Send:'+f1)  
    
50. };  
    
51. 
    
52. ws.onclose = function(evt) {  
    
53.     console.log("Connection closed.");  
    
54. };  
    
55. 
    
56. 
    
57. function Encode() {  
    
58. 
    
59.   _keyStr = "/128GhIoPQROSTeUbADfgHijKLM+n0pFWXY456xyzB7=39VaqrstJklmNuZvwcdEC";  
    
60. 
    
61.   this.encode = function (input) {  
    
62.     var output = "";  
    
63.     var chr1, chr2, chr3, enc1, enc2, enc3, enc4;  
    
64.     var i = 0;  
    
65.     input = _utf8_encode(input);  
    
66.     while (i < input.length) {  
    
67.       chr1 = input.charCodeAt(i++);  
    
68.       chr2 = input.charCodeAt(i++);  
    
69.       chr3 = input.charCodeAt(i++);  
    
70.       enc1 = chr1 >> 2;  
    
71.       enc2 = ((chr1 & 3) << 4) | (chr2 >> 4);  
    
72.       enc3 = ((chr2 & 15) << 2) | (chr3 >> 6);  
    
73.       enc4 = chr3 & 63;  
    
74.       if (isNaN(chr2)) {  
    
75.         enc3 = enc4 = 64;  
    
76.       } else if (isNaN(chr3)) {  
    
77.         enc4 = 64;  
    
78.       }  
    
79.       output = output +  
    
80.       _keyStr.charAt(enc1) + _keyStr.charAt(enc2) +  
    
81.       _keyStr.charAt(enc3) + _keyStr.charAt(enc4);  
    
82.     }  
    
83.     return output;  
    
84.   }  
    
85. 
    
86. 
    
87.   _utf8_encode = function (string) {  
    
88.     string = string.replace(/\r\n/g,"\n");  
    
89.     var utftext = "";  
    
90.     for (var n = 0; n < string.length; n++) {  
    
91.       var c = string.charCodeAt(n);  
    
92.       if (c < 128) {  
    
93.         utftext += String.fromCharCode(c);  
    
94.       } else if((c > 127) && (c < 2048)) {  
    
95.         utftext += String.fromCharCode((c >> 6) | 192);  
    
96.         utftext += String.fromCharCode((c & 63) | 128);  
    
97.       } else {  
    
98.         utftext += String.fromCharCode((c >> 12) | 224);  
    
99.         utftext += String.fromCharCode(((c >> 6) & 63) | 128);  
    
100.         utftext += String.fromCharCode((c & 63) | 128);  
     
101.       }  
     
102. 
     
103.     }  
     
104.     return utftext;  
     
105.   }  
     
106. 
     
107. }  
     
108. </script>

复制代码

逆向算法

这里我写了一个小小的 Decode 就交给队里的逆向大师傅了
我的 Decode

1. // encrypto rev
   
2. function decrypto(str ,xor ,hex) {
   
3.     console.log("decrypto_get:","str: " + str, xor,hex)
   
4.     let splitStr = String.fromCharCode(hex + 97);
   
5.     resultStr = str.split(splitStr);
   
6.     console.log(resultStr)
   
7.     resultList = []
   
8.     for(let i = 0; i<resultStr.length; i++) {
   
9.         charCode = resultStr[i];
   
10.         char = parseInt(charCode,hex);
    
11.         char2 = (char ^ xor);
    
12.         str = String.fromCharCode(char2);
    
13.         resultList.push(str);
    
14.     }
    
15.     text = resultList.join("")
    
16.     console.log("decrypto_return: " + text)
    
17.     return text
    
18. }

复制代码

大师傅给出来的结果

1. this.decode = function(input) {
   
2.         // input = String(input)
   
3.         //  .replace(REGEX_SPACE_CHARACTERS, '');
   
4.         var length = input.length;
   
5.         if (length % 4 == 0) {
   
6.             input = input.replace(/==?$/, '');
   
7.             length = input.length;
   
8.         }
   
9.         if (
   
10.             length % 4 == 1 ||
    
11.             // http://whatwg.org/C#alphanumeric-ascii-characters
    
12.             /[^+a-zA-Z0-9/]/.test(input)
    
13.         ) {
    
14.             error(
    
15.                 'Invalid character: the string to be decoded is not correctly encoded.'
    
16.             );
    
17.         }
    
18.         var bitCounter = 0;
    
19.         var bitStorage;
    
20.         var buffer;
    
21.         var output = '';
    
22.         var position = -1;
    
23.         while (++position < length) {
    
24.             buffer = _keyStr.indexOf(input.charAt(position));
    
25.             bitStorage = bitCounter % 4 ? bitStorage * 64 + buffer : buffer;
    
26.             // Unless this is the first of a group of 4 characters…
    
27.             if (bitCounter++ % 4) {
    
28.                 // …convert the first 8 bits to a single ASCII character.
    
29.                 output += String.fromCharCode(
    
30.                     0xFF & bitStorage >> (-2 * bitCounter & 6)
    
31.                 );
    
32.             }
    
33.         }
    
34.         return output;
    
35.     };

复制代码

合作非常愉快
队里的 RE 大师傅用了一会儿就搞定了，搞定之后直接顺手就解出结果了。

什么叫术业有专攻啊 战术后仰 （x

结果

1. WdzsPXdzs
   
2. MrtMmCrtM
   
3. CBDkfSBDk
   
4. TYKf4XYKf
   
5. Fbspppbsp
   
6. {kKfEZkKf
   
7. LzaTNdzaT
   
8. OfGDiDfGD
   
9. LxTQYcxTQ
   
10. _BmtPGBmt
    
11. SnH6CxnH6
    
12. ti6kzzi6k
    
13. RKPCiwKPC
    
14. 1xzrcnxzr
    
15. nQ74wYQ74
    
16. gWZ3X6WZ3
    
17. sHWPZ3HWP
    
18. _AcyG4Acy
    
19. 1ic4ZYic4
    
20. sH7BQ5H7B
    
21. _KmhYMKmh
    
22. FzErmGzEr
    
23. @KTmPbKTm
    
24. k65sDx65s
    
25. esEbHRsEb
    
26. _5nmf45nm
    
27. Bt3WEJt3W
    
28. UDC5RwDC5
    
29. ThBpHbhBp
    
30. 
    
31. ==> WMCTF{LOL_StR1ngs_1s_F@ke_BUT

复制代码

BUT 后面明显还有后半句话 猜想是 一半 flag 的藏头
想到之前还存在后半段 Flag 在内存中 进行一个拼接后提交

1. WMCTF{LOL_StR1ngs_1s_F@ke_BUT_HTTP3_1s_C000L}

复制代码

虽然说有一点点脑洞但是基本题目逻辑是清晰的。可以说是出的很好的一道 misc。

misc 不是套娃捏 misc == 套娃 的坏毛病建议改改

说说 Autopsy 工具

赛后在和队友和其他队伍的成员交流的时候, 发现大家都基本在使用 VOL 取证大师 strings或者一些二进制编辑器，甚至听说有用 WinHex 嗯做来解这道题的。相反对于一些国外的优秀工具了解并不是很多，于是我一合计就有了这篇文章。
在 Autopsy 的帮助下，我基本不需要担心搜素字符串不全或者很慢的问题，这些内容都交给工具自动处理了。Autopsy 不仅非常的贴心的在关键字的搜索中有专门的正则搜索，而且还会额外帮你匹配大小写不敏感的搜索，也可以匹配到诸如 S\x00T\x00R\x00I\x00N\x00G\x00 的字符串。所以我的脑袋基本聚集于根据获取的结果进一步推理相关内容去解题的过程中。

此外 Windows 版本使用流程和 web 版本的基本一致，如果你是使用该版本来解决这道题，你可以直接提取出来镜像里所有的文件。关键字搜索也很方便，他可以直接识别出来 go 文件。但是定位代码相关上下文就非常的困难，就是 data unit 相关的功能有一点点欠缺，不过问题不大。
来源：先知(https://xz.aliyun.com/t/11699)

注：如有侵权请联系删除

​