BB CTF 2023

1. Memory Dump

题目说明

I was learning powershell when my pc suddenly crashed. Can you retrieve my bash history?

解题思路

法一

之前长安杯做过PowerShell的取证题，PowerShell历史命令文件路径为
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
所以我们直接去filescanConsoleHost_history.txt

虽然报错了 但还是找出来了捏 dump一下

cat 一下下

AES解密即可

法二

因为ConsoleHost_history.txt为文本形式，所以利用strings转换一下直接搜索flag{即可

2. Vastness of Space

题目说明

Is space really that empty?

解题思路

查看图片exif信息

steghide隐写 password：BBCTF

用matplotlib库还原一下

import numpy as np
import matplotlib.pyplot as plt

data = np.genfromtxt("somedata.txt", delimiter=",")

num = data[:,0]
data = data[:,1]

plt.plot(num,data, 'ro')

plt.xlabel('x')
plt.ylabel('y')
plt.show()

扫码即可get flag

3. Random Requests

题目说明

I captured these very random http requests. Can you help me decode them?

解题思路

过滤HTTP流量可以看到有很多GET请求 flag=0/flag=1，所以猜测flag就是由二进制数据组成

写脚本&手撸&用tshark提取一下都可以，这里用tshark提取二进制数据
tshark -r random_requests.pcapng -Y "http.request.method == "GET"" | cut -d '/' -f2 | cut -d ' ' -f1 | cut -d '=' -f2 | tr -d '\n'

然后cyberchef一把梭

4. Imageception

题目说明

“The painter has the universe in his mind and hands.”
-Leonardo Da Vinci

解题思路

题目名称为imageception，所以直接FileScan搜索
python vol.py -f ./BBCTF/Imageception.raw windows.filescan.FileScan | grep "imageception"

发现有个imageception.png 把他dump下来

这里显示Error dumping file 但是文件夹里已经dump出来了。