VCTF2024-Forensics

这个取证有点意思，也没有套太多。

下载附件，直接FTK打开，我们发现两个分区，其中一个又hint.zip和一个图片，发现里面图片一致，一眼丁真明文攻击：

打开见key:

直接Password kit Forensics开梭：

然后FTK继续开，找到flag.txt，里面是个字符串，一眼十六进制转出摩斯密码：

解密，是个奶牛快传：

又一个flag.txt，打开转了半天而且是乱码，猜需要挂载，veracrypt启动！！！

密码是hint给出的

挂载后得到docx文件：

binwalk梭：

有个opposite的提示，010editor启动：

压缩包头504B3040倒置了，猜测倒置压缩包导出：

with open("C:\\Users\\75279\\Desktop\\1.txt", 'r') as file:
    content = file.read()
    reversed_content = content[::-1]

with open("C:\\Users\\75279\\Desktop\\2.txt", 'w') as file:
    file.write(reversed_content)

# 从formatted.txt文件读取十六进制字符串
with open("C:\\Users\\75279\\Desktop\\2.txt", 'r') as file:
    hex_string = file.read()

# 将十六进制字符串转换为二进制数据
binary_data = bytes.fromhex(hex_string)

# 将二进制数据保存为.zip文件
with open("C:\\Users\\75279\\Desktop\\reconstructed_file.zip", 'wb') as f:
    f.write(binary_data)

bandzip打开发现hint:

懒得去OSINT，直接爆：

打开即得：