CTF_Misc_Disk 恢复题

最新推荐文章于 2026-04-03 02:10:42 发布
原创 最新推荐文章于 2026-04-03 02:10:42 发布 · 3k 阅读 · 14 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#网络安全
本文探讨了如何通过hex分析发现Linux文件中的root判断,接着使用`file`工具识别为ext3文件并挂载。通过`extundelete`软件恢复丢失的文件,揭示PNG宽度高度操作隐藏的密码,最终揭示flag。过程中涉及的技术包括Linux文件系统、ext3挂载、数据恢复和Hex编辑技巧。

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_20,color_FFFFFF,t_70,g_se,x_16

 

1、打开文件 hex分析到有root 判断是Linux文件

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_20,color_FFFFFF,t_70,g_se,x_16

2、我们linux打开看一下

└─$ file disk2 
disk2: Linux rev 1.0 ext3 filesystem data, UUID=f4d4c80b-0724-4c50-89cc-bfb6f962131c (large files)
这是一个ext3

3、我们挂载看看

┌──(root㉿kali)-[/home]
└─# mkdir disk-misc                 
                                                                                                                                        
┌──(root㉿kali)-[/home]
└─# mount /home/disk2 /home/disk-misc
                                                                                                                                        
┌──(root㉿kali)-[/home]
└─# cd disk-misc 
                                                                                                                                        
┌──(root㉿kali)-[/home/disk-misc]
└─# ls
lost+found  readme  secr3t2.zip
 

4、我们拖到windows看 存在密码

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_20,color_FFFFFF,t_70,g_se,x_16

另外一个文件

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_20,color_FFFFFF,t_70,g_se,x_16

 5、我们看一下题目文件 还有没有其它东西 我们恢复看一下

      extundelete  用到这个软件

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_20,color_FFFFFF,t_70,g_se,x_16

 --restore-filewatermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_20,color_FFFFFF,t_70,g_se,x_16

 extundelete --restore-all 恢复出一个文件

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_20,color_FFFFFF,t_70,g_se,x_16

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_12,color_FFFFFF,t_70,g_se,x_16

这是之前那个图片的密码 don0tgu355p@sswd

打开得到watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_20,color_FFFFFF,t_70,g_se,x_16

 这种情况就怀疑对PNG的宽高做手脚,

6、hex修改

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_20,color_FFFFFF,t_70,g_se,x_16

 7、得到flag 

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQnkgWWFuZw==,size_20,color_FFFFFF,t_70,g_se,x_16

 

 

CTF之——Misc_Disk 恢复
Jay
03-08 882
extundelete --restore-all 恢复出一个文件。1、打开文件 hex分析到有root 判断是Linux文件。5、我们看一下目文件 还有没有其它东西 我们恢复看一下。这是之前那个图片的密码 don0tgu355p@sswd。extundelete 用到这个软件。4、我们拖到windows看 存在密码。这种情况就怀疑对PNG的宽高做手脚,CTF_Misc_Disk 恢复。需要环境赛等更多资源请私聊博主。需要环境赛等更多资源请私聊博主。2、我们linux打开看一下。
CTF简单的文件修复
Jame0x00的专栏
03-09 1万+
CTF简单的文件修复 文件名称:file_repair.zip 双击file_repair.zip,显示文件已损坏,直接将文件拖到winHex中,(作为小白,百度了一下zip文件的格式) ZIP Archive (zip),文件头:504B0304 显然是缺少了50 4B,补全后,文件可以正常解压,出现了一个名字问pic的文件。使用文本打开后,发现乱码,然后用winHex打开。 发现IHDR字...
开源大模型实战选型指南:从DeepSeek R1到通义千问Max的落地场景剖析
最新发布
weixin_33734785的博客
04-03 254
本文深入剖析了开源大模型DeepSeek R1和通义千问Max的实战选型策略,从智能客服、代码生成到数据分析等多场景对比其性能差异。重点分析了硬件需求、响应速度和多语言支持等关键因素,为开发者提供落地部署的实用建议,帮助根据业务需求选择最适合的大模型解决方案。
CTF—wireshark之文件还原
weixin_52620919的博客
07-30 4074
简介: 本示例主要介绍了wireshark文件还原技术,通过本实验的学习,你能够了解wireshark的使用方法, 能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。 【Wireshark】 Wireshark从功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。 目 黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。 无意之中,他发现有人在某个网站上上传了一份
CTF-RE-文件数据修复
SuperGate的博客
06-09 7229
目大致意图是:解密CTF.ctf文件,然后再从中找到flag。 由于.ctf文件损坏,并且解密程序可以判断.ctf文件损坏,因此首先选择逆向这个判断条件。 由于有打开文件的操作,所以可以ollydbg打开,找到CreateFile函数下断点 F9在CreateFile函数停止,发现下面有一串Readfile函数,这个函数被多次调用。显然是在读取文件中的信息。 找到离我们最近的一...
2020易博霖CTFMisc2--Disk
flying_bird2019的博客
04-01 1514
MISC Disk 方法一 将文件加后缀.zip,打开后发现加密压缩包 将原文件以txt文件形式打开,在文本中发现密码 输入密码得到一个png图片,修改图片高度得flag 方法二 将文件移至Linux下,用flie命令检测文件类型 ...
青少年CTF练习平台-Misc休闲WP大全(二)
qq_62555697的博客
08-08 1159
青少年CTF练习平台-Misc休闲WP的第二集,且看且珍惜吧╥﹏╥。
CTF-MISC练习
dahege666的博客
12-25 2417
1、AsianCheetah 使用stegsolve打开图片,点击左右箭头后并没有什么发现, 这个图片其实LSB隐写 首先选一个颜色的最低为,然后选择LSB 进行preview后,没有什么发现 当选择蓝色blue最低位时找到flag 二、使用zsteg,,将所有的排列组合直接显示出来,只针对PNG和BMP图片 现在kali中安装zsteg, 然后 zsteg + 图片文件 2、dandelion 使用stegsolve打开图片 ...
简单的CTF_Misc_Disk过程
weixin_44345077的博客
09-12 1764
1.下载干,链接:Misc_Disk.zip 提取码:tk4k 2.解压得到 3.看文件名判断可能是磁盘文件,先放到winhex里看看, 发现有ROOT路径,把文件放到kali里用file命令确认一下`` 确实是linux的文件系统,现在把文件挂载,并看看里边有什么 What?文件需要解压缩,解压密码还被删除了? 用取证工具恢复一下试试 得到一个“RECOVERED_FILES”文件夹,这里面是恢复出来的文件 这是恢复的密码文件内容,来试试能不能正常解压缩 解压得到flag.png 这个图片在li
关于一道ext3文件处理的misc
laffey的博客
11-26 1222
Findme 下载附件findme后用file命令查看文件格式,得知是ext3文件 file -b findme Linux rev 1.0 ext3 filesystem data, UUID=f2b1e8fa-29a6-454b-b6df-6182044790bc (needs journal recovery) (large files) 根据运行结果,使用extundelete查看日志,extundelete --help可以查看使用方法 extundelete findme --journal
CTF Web】XCTF GFSJ0485 simple_php Writeup(代码审计+GET请求+PHP弱类型漏洞)
HEX9CF的技术博客
05-06 793
小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
CTFHub 病毒文件恢复 WP
qq_61993117的博客
09-02 594
病毒文件恢复wp
CTF取证总结(内存取证,磁盘取证)以及例复现
热门推荐
Love&Share
09-20 4万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
CTF比赛常用离线工具
lc3016的博客
07-25 2270
一、前言我也是小白,刚接触CTF,打了几次比赛,给大家分享几个好用的离线工具,基本上都是Misc工具我会介绍他们的用法和相应的解法。
[CTF-攻防世界]Recover-Deleted-File
Luistin的博客
01-14 932
4.然后发现前面的思路是错误的,找到这些并没什么用,我们回到目描述里面来,目是要我们去恢复这个磁盘并且找到FLAG。5.extundelete disk-image --restore-all ​#修复这个文件,之后出来了个密码。1.gz,linux的压缩格式,将后缀名修改为zip就可以在windows里面打开了。2.解压出来发现是一个disk-image文件夹,用7zip可以将其打开。7.只能老老实实地给权限了,chmod +x flag​。6.发现权限不够打开的,我root都打不开?
CTF磁盘取证分析方法案例
Bruce_xiaowei的博客
08-05 1182
​ 数据取证(Data Forensics)是一种技术和方法,旨在对计算机系统、网络或存储设备中保存的数字数据进行深入分析和验证,以确定其真实性、完整性和一致性。CTF比赛中,磁盘取证类目一般会提供一个磁盘镜像,选手要综合利用磁盘存储和文件系统的知识来提取磁盘镜像文件中的flag。
class--杂项(三)
lulu001128的博客
04-03 1617
,学习
[CTF攻防世界] WEB区 关于备份的
weixin_43586169的博客
04-14 4170
提供一个关于备份文件的解思路
CTFHub_历年真_MISC——“图片修复”、“磁盘恢复”、“蛛丝马迹”
Ho1aAs‘s Blog
07-24 7485
文章目录使用工具解过程Ⅰ、图片修复Ⅱ、磁盘恢复Ⅲ、蛛丝马迹完 –>CTFHub传送门<– 使用工具 winhex Photoshop Wireshark 解过程 Ⅰ、图片修复 附件是损坏的GIF文件 首先看看GIF的文件头,果然,文件头缺失 –>文件头大全传送门<– 使用winhex修复文件头47494638 在第一个字符“47”之后添加3组0字节,右键——编辑——添加零字节 修改后GIF正常显示 FLAG存在于其中两张动图上,使用PS分离 Ⅱ、磁盘恢复 附件是W
DEFCON 20 CTF 磁盘取证分析
蚁景网安学院
04-08 3116
这是一道取证分析目,主要考察取证分析能力,包括磁盘文件恢复、图片文件修复、数据分析、图片隐写信息提取等。 本次实验目地址:《DEFCON 20 CTF Quals Forensic 200》。 目提供了一个disk.img文件,我们首先可以尝试使用DiskGenius来查看其中的文件。打开DiskGenius_4.3.exe,依次选择“硬盘”、“打开虚拟硬盘文件”菜单项,如下图所示: 使用DiskGenius打开C:\CTF\DiskForensics\4\disk.img文件之后,可以看到在磁盘的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小晨_WEB

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值