记一道新形式的取证题

我在仔细地研究了夏风师傅的 wp后写下这篇文章，不得不说夏风师傅 tql！

[HFCTF] 奇怪的组织

J8MEGR.png

题目附件：https://pan.baidu.com/s/1XPGe-CeCrEVHHBads1U8jA 提取码：9k9n

题目考点

• 查看浏览器记录
• 查看邮件记录
• 手机通讯录vcf文件

题目详解

下载附件并解压，得到一个文件夹，打开可以看到里面的内容正像是我们电脑中C盘的内容，而我们要做的就是从这些茫茫多的文件中找到和flag相关的内容

注：以下取证所用工具为MAGNET AXIOM，下载戳这里（两块钱你买不了吃亏，两块钱你买不了上当~）

首先我们查看浏览器历史记录，在11月28号的记录中可以看到访问了很多和emoji有关的网站

J8MOeO.png

而其中的https://codemoji.org是一个用emoji表情来加密文本的在线加密网站，但是这个网站加密过的文本都只能用网站加密时分享的短链接才能解密，比如下图中红色框里的链接

J8MXwD.png

访问这个链接可以看到如下界面

J8MjTe.png

点击Decipher it即可解密，但是解密时需要用到一个emoji表情作为密钥，我们一会再说密钥相关的问题

既然出题人用了这个网站加密信息，那么他所加密的信息肯定与解题相关，所以我们接下来需要寻找这些信息，点击EMAIL这一栏可以看到里面有大量的EML(X)文件，点进去查看也可以发现在11月28号29号这两天，邮件发送人和接收人大量的重复

J8MxFH.png

而主题为kkkkk的最早的这封邮件内容也正说了和出题相关的内容

J8MzYd.png

我们一封一封查看邮件可以发现其中含有三个和刚刚浏览器中类似的短链接

https://mzl.la/37QeQ4v
https://mzl.la/2L5ZfnD
https://mzl.la/2svfAf5

还有一封这样的邮件

J8Q9SI.png

解开那个网站emoji加密的密文需要密钥，而其实密钥在本题中可以通过两种方法得到：

① 第一种方法可以观察浏览器的历史记录，可以发现出题人在28号访问短链接解密之前特意查找了和dragon这个emoji相关的网址

J8QeYj.png

而且我们尝试使用龙的emoji来解密，可以正确的得到明文

J8Qupn.png

而邮件中提到密码还是那个，即还是龙的emoji

② 第二种方法是看了夏风师傅的wp学到的方法，可以用在线网站还原短链接，还是以浏览器中那个短链接（https://mzl.la/37QeQ4v）为例，还原可以得到

https://codemoji.org/share.html?data=eyJtZXNzYWdlIjoi8J%2BamvCfjbfwn5qa8J%2BNt/CfjZ4g8J%2BPgPCfj4fwn5iGIPCfmIbwn46hIPCfj6vwn4238J%2BPgCDwn4%2Br8J%2BamvCfjbfwn5SW8J%2BRkSIsImtleSI6IvCfkIkifQ%3D%3D

先对链接data后数据进行URL解码，再解base64，可以看到

J8QOcq.png

通过还原链接可以得知任意加密文本的加密密钥，以本题为例也就是龙的emoji

通过使用龙的emoji为解密密钥，对邮件中得到的三个短链接进行解密，可以得到以下信息

https://mzl.la/37QeQ4v
解得：haha, now we can chat!
https://mzl.la/2L5ZfnD
解得：yeah, maybe... let me think ...
https://mzl.la/2svfAf5
解得：aha, this way is safe!Remember my real name!

根据上下文联系，最后一句中提到的real name很可能在接下来会用到！

我们继续查看邮件，在接下来的几封邮件中仍然可以看到一长串一长串的emoji文本，但是却找不到对应可以解密的短链接

J8QzHU.png

我们转为考虑另一种emoji加密：emoji-aes加密

但是这种加密也需要密钥，此时我们联想到刚刚提到的real name，可能加密的密钥正是需要寻找的real name

接下来就有点脑洞了，也是看了夏风师傅的wp才学到的东西，自己想的话真不太能想到，除非有耐心一个一个文件的去翻2333

real name即真实姓名，我们直接翻看附件的文件夹，可以在以下目录找到sdcard文件夹

Thunder\Users\bob\Pictures\Camera Roll

sdcard即手机的储存卡，再联系到需要寻找真名，想到手机通讯录，而通讯录的文件为.vcf格式，在文件夹中搜索.vcf文件，可以找到out.vcf文件，在下面目录

Thunder\Users\bob\Pictures\Camera Roll\sdcard\Android\data\com.android.backup\files\pending_blobs

参照夏风师傅wp中的vcf文件查看方法，下载软件查看通讯录，可以发现只有matachuan这一个用户拥有邮箱信息，而且real name那封邮件正是从rjddd321@protonmail.com发来的，也就是说matachuan就是他的真名

尝试以matachuan为key解密邮件中的emoji-aes，可以得到以下几条信息

这个还能加密中文呢，无敌了
那你把后台账户发我吧
admin admin
帮你传了点东西，以后你写博客应该用的到
好的，我一会上去看一看，对了，组织的暗号已经换了，“GxD1r”

根据得到的信息，可以知道出题人博客中藏了信息，以及可能某种加密的密钥为GxD1r

我们再次查看浏览器主历史纪录

J8l9N4.png

在这里可以找到Blog相关字样，而且也正是29日、30日这两天，时间上也与题中的时间线相符，按照上图中的路径，可以在文件夹中找到几个html文件，路径如下

Thunder\phpstudy_pro\WWW\dede\a\Blog\2019\1130

查看4.html时可以发现有密文一样的字符串

J8lQCd.png

尝试base64解码失败，看字符串的格式再考虑aes加密，而密钥正是刚刚得到的GxD1r，成功解密得到flag

flag：flag{3e5923d2-c31c-49cd-bfa3-e366a1a59c4d}

参考文章

• 夏风师傅的wp：https://blog.xiafeng2333.top/ctf-30/

结语

感觉很新颖的一道取证题，其中各个线索虽然都隐藏的比较深，但是它们之间的联系感也很强，复现一遍题目整体下来感觉也很不错，通过这道题也可以学到很多新的知识，很赞！