思路,首先使用Trid 查看文件的格式,得知是ELF(二进制可执行文件)。解压开来接近500MB,体积太大了。(Trid是个神器,下载回来的识别文件格式特征文件(xml)有几千个,总体积30MB。)
在此学习了一个strings 命令,可以查看二进制文件中可打印的字符串,因此strings firefox.mem|grep flag 得解。
---------------
思路,根据题目可知关键点在于明文ftp导致的信息泄露。在wireshark过滤器筛选ftp,观察得知客户端请求了一个zip.zip 的文件。再在过滤器输入ftp-data 找到zip文件传输的第一个包,右键Follow TCP Stream 看到熟悉的PK开头的数据流啦。保存为raw形式的文件,后缀命名为zip,解压缩得到flag图片。
题目是一个pdf.pdf 的文件,打开是一张图片。可能一开始我们会尝试改rar类后缀看是否隐藏文件,然后将图片拷贝出来看图片是否有猫腻。本题的考点在于在pdf直接隐藏了一段文本,因此与该张图片无任何关系。老外的思路是,对于一个pdf文件,首先会用pdfid.py检查是否内含Javascript代码,然后用pdf-parser.py 检查发现text section,因此用pdf2txt.py转换成txt文本,得到flag.
老外从var/log/audit.log 一路寻找得到一个PDF文件,然后分析得到一个Javascript代码,解码得到flag。总体来说,PDF分析在此次比赛中比较重要。我推荐PDF Stream Dumper,加载pdf,点击Javascript_UI即可。
