一、返校之路

下载附件后是两个压缩包，part1压缩包解压发现需要密码，用010看了一遍发现是伪加密，直接把0700改为0800即可解压，解压后得到readme.txt，其中有提示bfs???明显的掩码攻击提示，于是用archpr掩码攻击第二个压缩包（这里注意下，在掩码爆破时，开始于和结束于直接清零即可，但这样可能会使爆破时间加长）得到密码bfsWWfi，解压第二个压缩包后得到三张图片，其中第三张图片中有提示有关地铁换乘，参照图一和图二分别是照样站和魏公村，再参照第三章地铁线路照片可知需从3号线出发，换乘10号线，再换成4号线。三张图片分别扔到随波逐流中梭一下，图一无结果暂且不管，在图二下发现了flag线索，将MVCEU4SUNVTTGYSFGQ6Q====在随波逐流中解码，其中看混合解码结果比较顺眼，给套上ISCC{}的壳子后发现不对，这时想起来上一个有关地铁换乘的线索，试了下3+4+10=17，把17加载后面不对，然后按换乘顺序将3104排列在后面就过了。最终flag为ISCC{x2kNh7lN3104}

二、取证分析

这一题其实是没有接触过的领域，这里仔细整理一下。前半部分，即docx文件部分还好，重点是对hint中的文件，hint.vmem的处理，新工具volatility，指令一：volatility -f xxx imageinfo，该命令是用来查看该文件的基本信息，如推荐的Profile版本，内存类型，时间戳等，指令二：vol -f xxx –profile=xxx filescan > filescan_results.txt，这条指令是把xxx文件通过xxx版本提取信息到txt文本中，指令三：Select-String -Path “filescan_results.txt” -Pattern “xxx”，这个是在txt文本中搜索xxx的位置，指令四：vol -f D:\ctf\attachment-191\hint.vmem–profile=Win7SP1x86 dumpfiles -Q 0x7e8a23c0 -D C:\temp\，这个指令中，是把上一步搜索到的位置的文件转存到C:\temp\中，这个地址指的是偏移地址，但要注意提取后的文件是无规则的命名，所以需要自己查看并修改格式——————————–回到这一题上来，通过上述步骤，我们可以找到一个hahaha.zip的可疑压缩包，接下来就是解压这个压缩包，发现是真加密，爆破密码，通过明文爆破，其中的readme文件，自己新建一个txt文件，将开始的文档中的那句话放进去就可以看到其crc与压缩包中的crc校验值一样，利用archpr进行明文爆破（开始于也直接清空），其中一个看着像flag格式，放到随波逐流梭一下，发现是提示编码类型为维吉尼亚编码，那另一个文件肯定就是让我们找密钥的，是一个关于杨辉三角的解密，用ai给的脚本跑出密钥，把最开始改为zip文件后的内容中找到的密文<!–  oxdywhrxoawf  –>，进行解密，得到最终flag：ISCC{gpbwjyrzkjox}

三、睡美人

下载附件后扔到随波逐流发现有压缩包，用binwalk分离一下，发现压缩包有密码，用010观察发现非伪加密后就开始找。说实话这一题我到现在不知道为什么压缩包密码是加权像素值，懵出来的，解压之后发现一个wav文件，进行基本的分析后选择先尝试 解码 WAV 文件中的非标准曼彻斯特编码信号。因为前段时间刚好做了一题有脚本用，把二进制解码为英文发现有意义，于是尝试套上ISCC{}外壳，幸运的过了，最终flag：ISCC{shadow}

四、签个到吧

下载附件后给了一张图片和一个压缩包，分别扔到随波逐流中，图片没有什么信息，于是用cqr扫一下发现也没有。但在压缩包里发现一张图片，且压缩包的文件头不对，修改文件头，解压得到图片2。扔到随波逐流中发现没什么线索，于是用stegsolve深入分析一下，在隐写分析时发现图片的名字中0001好像正好对应隐写分析，试了一下果然有东西。发现是逆 Arnold 猫映射变换，通过提示后面的1112让ai帮忙写了脚本，在生成的图片中只有一张是像正常的二维码。但应该扫不出东西，联系刚开始给的没什么用的二维码图片，用stegsolve将图片整理，果然有用，再用cqr扫码即可。