今天刚打了台州市赛，打的不是很理想，记录一下做题时的思路还有自己的一些错误，权当教训。

这是神马

得到一个流量包，直接分析http流量，导出几个upload.php还有十来个shell.php，一个压缩包，初步看了一下感觉是aes加密，但是一直不知道是哪个工具的，后面搜到是冰蝎的流量，试着用工具一把梭但是不太成功，改用手打。使用D盾查upload，发现后门，获得aes的key

拿key去解密日志，日志很长，就不放上来了。从这里思路就开始错误了，转头去看了压缩包，看到salted大脑就红温了，一直在审查日志找盐，比赛时本题思路就此卡死

赛后复现

翻译日志的时候有几个日志翻译漏了，赛后翻译一看，您猜怎么着？嘿，加密的命令在里面，盐也在，真的很红温

openssl des3 -d -salt -k th1sisKey -in flag.tar.gz -out flag_decrypted.tar.gz

aes-emoji，解开即可

DASCTF{342bffc5e8e16f0cc83bbd298efe803e}

总结

本题主要考点就是aes加密，流量分析的味道感觉不浓，有一个踩坑点：尽量用linux解码，出题人用的linux，我用的windows，嘎嘎被编码雷普

李先生的磁盘

吐槽：来到了自己最喜欢的取证环节，A01文件，直接ftk挂载，昨天取证机主板被静电击穿顺带烧了我的处理器，今天换笔电打比赛时一挂载电脑就蓝屏，还是拿队友的电脑开了磁盘，不知道是什么水逆运气？

拿到文件后先用FTK进行挂载,然后直接AXIOM磁盘分析一下：

很明显邮件是线索，因为网易邮箱大师的本地数据库并没有加密，所以本地的sqlite可以直接开，进行导出，

得到了一个微信号，还有图片密码，加上邮件中提到的附件，找一下磁盘中的压缩包，发现了一个压缩包，密码是微信号，解压出图片，结合图片是jpg，用jpghide得到隐写的银行卡号，至此，完成。

Black Mamba

这题是比赛时没有一点思路，只好放弃了，赛后来复现一下

复现

简要一句：末尾的额外数据，导出，并且异或24得zip，提示常用密码，爆破一下即可。