题目分析
首先原题是有提示的
An otaku used VeraCrypt to encrypt his favorites.
Password:
rctfFlag format:
rctf{a-zA-Z0-9_}
下载得到一个vmdk文件,看起来是虚拟机的磁盘文件。
VMDK:(VMWare Virtual Machine Disk Format)是虚拟机VMware创建的虚拟硬盘格式,文件存在于VMware文件系统中,被称为VMFS(虚拟机文件系统)
然后用txt格式打开后搜索CTF得到如下,或者再kali下用string命令搜索
rctf{unseCure_quick_form4t_vo1ume这边应该是只有一半的
在进行磁盘分析,由于是vmdk文件,我们可以用7Z查看和提取镜像里面的内容。看官网可以知道,它支持很多文件系统和镜像的解压
但是也不是万能的,毕竟只是解压软件:
只支持RAW镜像(与拓展名无关),而不支持E01等专业的镜像格式,但是已经支持了大部分了。
在用7z打开分析后可以看到里面有一个FAT文件,是一个FAT32的文件系统,提取出来。然后使用VeraCrypt尝试挂载这个文件系统。
输入密码后成功挂载得到一个本地磁盘,打开得到如下
password中的内容如下
Password 2: RCTF2019
You’re late… So sad
一张图片可能是用来误导的。在挂载输入密码的时候,不同的密码可以进入不同的文件系统,所以我们还是用新得到的密码继续挂载这个文件系统。但是显示是隐藏分区,无法直接访问。
然后我们可以利用winhex来分析,利用其来打开磁盘然后分析在其中找到后一部分的flag
_and_corrupted_1nner_v0lume}
合起来得到最终的flag
rctf{unseCure_quick_form4t_vo1ume_and_corrupted_1nner_v0lume}