线上

异常的工程

直接strings查找flag
image.png

入侵事件

记事本打开,然后根据题目意思,直接搜索password,就能找到准确时间(吐槽一下,题目描述错了)

image.png

签到题2

image.png

baby_pyc

在线网站反编译代码
image.png
解密脚本

1
2
3
4
5
6
7
8
9
10
from Crypto.Cipher import AES
import base64
password = b'ragfwQEFAAAAAAAA'
iv = b'1234567812345678'
encrypted_text = base64.b64decode(b'HHAOD2xCZ0XIJTrOZB4t83wnFsi824jtpiRXI1usbkQ=')

aes = AES.new(password,AES.MODE_CBC,iv)
decrypted_text = aes.decrypt(encrypted_text).decode()

print(decrypted_text)

image.png

unseen

因为是gif图,打开时是缺少了头文件,所以直接补充回来
image.png
然后用在线网站打开分析,观察红框中的字是在变化的,记录下来得到一个字符串 MZWGCZ33NVMEGTJVJRLGKOC2PU======
image.png
解密工具一把梭
image.png

神奇的编码

一眼的html编码
image.png
然后16进制转字符串,解出flag
image.png

签到题1

16进制转字符串
image.png

数据加密分析

两次16进制转字符串
image.png
image.png
然后凯撒密码解密,key=6
image.png

线下

WEB-flag

弱口令密码rdp登录到10.10.100.13,在C:/Users/Administrator/Desktop目录下面找到webflag

img

OA-flag

弱口令密码rdp登录到10.10.100.13,同样弱口令登录到第二层机器192.168.100.103,把桌面的文件备份下来,打开oaflag就得到了flag

img

文件恢复

弱口令密码rdp登录到10.10.100.13,同样的操作弱口令登录到第二层机器,把桌面的文件打包备份下来,然后把

img

这两个文件单独分开,在 XDGFAOESB-DECRYPT.txt里面知道加密方式百度找到解密工具的官网,下载下来,直接解密,再解一次base64就得flag

image-20230521194907047

攻击溯源

进到第二层机器,net user发现一个hack用户 net suer hack就可以看到时间了

image-20230521195238541