GKCTF X DASCTF应急挑战杯 MISC 0.03 – 作者:知非知非知非

提示信息我的真心值三分吗?

笔者内心OS：反正这三分，我是得不到！

该题提供了一个压缩包包为：0.03，解压后生成如下两个文件：

文本文件secret.txt打开后这样：

压缩包打不开，说是格式不对！？

此刻选择偷师大佬的WP!

此处的知识点是NIFS隐写！

NTFS数据流文件也被称为 Alternate data streams，简称ADS，是NTFS文件系统的一个特性之一，允许单独的数据流文件存在，同时也允许文件附着多个数据流，除了主文件流之外还允许许多非主文件流寄生在主文件流中，使用资源派生的方式来维持与文件的相关信息，并且这些寄生的数据流文件我们使用资源管理器无法看到。

而这些寄生的数据流文件就是我们要挖掘的信息！

这里使用一个软件：链接如下

https://pan.baidu.com/s/1c2zbNaC?

这个软件叫ntfsstreamseditor，使用方法如下：

搜索目标文件夹，即可发现隐藏的文件：

导出的文件长这样！

和数字貌似可以对应？把数字改成字母的格式！数字多三位！

放弃了，找大佬魔法少女雪殇的WP，此处推荐大佬的BLOG！

http://www.snowywar.top/

311代表第三行，第一组数字的第一位，即U

或者

311代表第三列，第一组数字的第一位，即E

通过以上两种方式：

可以生成两组数字：

UBMMASSJJMU

EBCCAFDDCE

接着使用大佬推荐的软件VeraCrypt Setup 1.24-Update7.exe，这个上网一搜就能找到。

进行解密：

选择文件-加载-输入密码-确定（第二个为正确密码）：

打开该文件：

FLAG终于出来了！

flag{85ec0e23-ebbe-4fa7-9c8c-e8b743d0d85c}

太难了！

来源：freebuf.com 2021-06-28 17:16:42 by: 知非知非知非