套的签到题

这是你沐师傅的站的流量，最近你沐师傅去跟着某讯搭了一个WP平台后发了一篇文章再测试了一下自己的站就再也没去管过平台了。结果被某位名字貌似大概可能叫g4_simon的大黑阔给hack掉了站，并进行了一些操作拿到了沐师傅放在平台里的信息。由于沐师傅说他摆烂了不想自己研究，于是将流量附件放了出来叫大家来帮忙找一找。找到三段你觉得像flag的内容并用下划线组合，即ctfshow{A1_A2_A3}，找不到就算了，摆烂了。如果交不上就算了，摆烂了 (其实签到题是PC1和CP1)

第一段flag

是个黑客入侵站的流量包，首先，找到post的数据
黑客是通过蚁剑连接上传的木马，蚁剑命令执行的流量通过base64混淆，下图可以看到执行了cat /f1111114g.txt的命令，即为第一段的flag

第二段flag

黑客对站数据库进行爆破，flag在数据库里面

JiaJia-CP-1

这是部分人熟知的刘佳佳同学的电脑，她今年21岁已在公司里实习。但是佳佳经常摸鱼被老板训斥说：“你怎么摸得下去的”。因此佳佳还会经常将未完成的工作带到家里去完成(老板不留她加班属实有点离谱。但最近佳佳一天摸鱼的时间达到了25小时，这令老板非常不爽。于是??老板悄悄的植入了一个软件并在后台获取了佳佳电脑的内存信息。由于老板也是个懒??于是叫你来找一下老板想要的佳佳电脑的信息。作为十年老粉的CTFer们如果不是因为要找到flag一定不想帮老板来看佳佳的电脑内存信息吧，于是你也只能来帮助老板寻找佳佳电脑里的信息。电脑里面没有奇奇怪怪的东西，不要乱翻浪费时间

共3大题，第1大题做出来再给你第2大题和第3大题的题目，哼哼
1.佳佳的电脑用户名叫什么(即C:Users{name})
2.最后一次运行计算器的时间式为yyyy-mm-dd_hh:mm:ss，注意冒为英文冒 )
flag格式为ctfshow{md5(A1_A2)}， format:ctfshow{ljj_2021-12-12_07:13:26}=ctfshow{c3cf135599d338093cbd2b578065be89}

filescan正常搜一些就可以找到用户名jiajia

ctfshow{079249e3fc743bc2d0789f224e451ffd}

JiaJia-CP-2

题目附件见JiaJia-CP-1
1.佳佳在公司使用了一款聊天软件，请问此软件的版本为r> 2.佳佳在页上登录了自己的邮箱，请问佳佳的邮箱是r> flag格式为ctfshow{md5(A1_A2)} format:ctfshow{12.0.7.14098_JiaJia2233@qq.com}=ctfshow{15e6abc2c9bf12cbd805e72a95e66291}

pslist没有看到聊天软件进程，timeliner搜一下桌面、文档等关键位置，发现使使用的应该是Telegram

自动完成历史: formhistory.sqlite 记录着你通过Firefox搜索框搜索的历史，以及你曾经在站填写过的表单

JiaJia-CP-3

题目附件见JiaJia-CP-1
1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss，注意冒为英文冒 )
2.佳佳解压了从chrome下载了一个压缩文件，此文件的相关内容信息已经写入了到环境中，请问文件的内容是r> flag格式为ctfshow{md5(A1_A2)} format:ctfshow{2021-12-12_19:18:57_this-is-your-part2}=ctfshow{91b8135bc98486fa898330aafac9afd1}

依旧是看timeliner

WIN7中，任务栏上“已固定”文件的快捷方式（.lnk文件）保存在下

访问时间2021-12-10 12:21:36 UTC+0000
2021-12-10_20:21:36

写入了到环境中！原来是要看进程环境变量(envars)
压缩包是part2.rar

JiaJia-PC-1

仿真和不仿真的方法一起做了

刚刚在佳佳公司电脑那里提到，佳佳从公司带了一些电脑资料在家里继续加班完成因为摸鱼而没有完成的工作任务，本以为佳佳她会在家里稍微勤奋那么一neinei，没想到佳佳直接快进到找别人完成任务。好巧不巧这个人就是老板本板，希望佳佳人没事。佳佳因为找别人完成任务，因此让别人连上了自己的PC之后就直接跑去床上躺着了，并不知道这个??老板往佳佳电脑里面放了一个神奇的软件并用此软件提取了整个电脑磁盘，再通过该远程传输传输到了老板的电脑上，当我们发现这个信息的时候老板已经在包吃包住的好地方呆着了。但还是请你帮忙找一找这个??老板想要获取到的信息，说不定下一个包吃包住还能免费cosplay的幸运儿就是你。
1.产品秘钥（卷影）
2.windows系统版本
ctfshow{md5(A1_A2)}
format:ctfshow{md5(NPPR9-FWDCX-D2C8J-H872K-2YT43_20H2)}=ctfshow{bc536cad5a7853d94d0298289d0c47cd}

1.产品秘钥（卷影）
产品密钥要看里的密钥

查看你的Windows 10的详细版本：定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion”，然后看右栏“BuildLabEx”即可看到详细的版本信息

ps仿真过程

仿真：
找到foxmail的安装目录，storage下就是原本的账户

JiaJia-PC-3

1.佳佳使用了公司指定的聊天软件，并且使用了此软件的远控功能，请问整个远控持续了多少秒r> 2.此软件是在多久被开始安装的，请将空格替换成下划线
3.除开开机密码外，佳佳喜欢使用一个通用密码，请找出此密码。
ctfshow{md5(A1_A2_A3)}
format:ctfshow{md5(100_2021/12/12_12:12:00.666_CtfSh0w!!!)}=ctfshow{24cef4e40844c85aec31a5b7ea4736bb}

1.佳佳使用了公司指定的聊天软件，并且使用了此软件的远控功能，请问整个远控持续了多少秒r> 2.此软件是在多久被开始安装的，请将空格替换成下划线

仿真：
邮件和最近访问都可以看到teamviewer的痕迹

手动查找日志文件
通常情况，TeamViewer 日志文件可以通过以下地点查找：
Windows
TeamViewer 完整版本和主机版本:
C:Program Files (x86)TeamViewer
TeamViewer QuickSupport:
C:Users[username]AppDataRoamingTeamViewer

声明：本站部分文章及图片源自用户投稿，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！

[ctfshow 2021摆烂杯] FORENSICS部分 writeup