2025ISCTF_OSINT&病毒分析

2025ISCTF - OSINT&病毒分析

这两个方向之前尝试得不多，而这回为了多拿得分就硬刚……感觉值得纪念hhh

OSINT

OSINT-1

拿到题目之后看到一个街景（谷歌街景）：

我觉得上图算是一个标志性的建筑，所以拿去谷歌识图做搜索，于是搜出了这个：

显然，这边是福州大学，于是查看谷歌街景中与福州大学有关的街景。于是找到了这个：

把经纬度转换为三词：

套上ISCTF的壳提交即可。

OSINT-2

首先还是一张街景：

谷歌识图发现是纽约曼哈顿大桥，于是打开谷歌地图搜：

但附近的观察点位貌似比较多。根据街景的特征，这边有两个大桥，能和河岸构成一个梯形，而观察者在梯形底边上：

所以最后就找到了这边：

查看全景，发现找到了：

把经纬度转换为三词：

套上ISCTF的壳提交即可。

OSINT-3（复现）

抓包OSINT网站，会发现其中一个响应包中会额外出现下面字段：

（如果出现 304 则需要清除浏览器历史缓存再抓）

panoid 是Google Street View中的一个属性，它表示某个地点的唯一标识符。

于是复制下来：

-88LYedx_0Bfr0PMqm0OhA

然后打开谷歌地图随便找一张街景，注意URL中这个位于 !1s 和 !2e 的部分：

将其替换为我们的 panoid 后，就会自动跳转到题目的全景图区域：

于是复制坐标：

转换为三词：

套上ISCTF的壳提交即可。

病毒分析

病毒分析-题目2

首先解压文件，发现有两个文件瞬间被隐藏了。桌面剩下一个 ISCTF基础规则说明文档.pdf ，但是双击打不开，查看属性才知道原来是双后缀。全名应该是：ISCTF基础规则说明文档.pdf.lnk ，这就是第一阶段载荷中的入口文件全名。

病毒分析-题目3

这个地方我是直接用kali的 file 命令去获取文件详细信息，签名者就在这：

尝试了一下发现答案正确：Zoom Video Communications, Inc. 。

病毒分析-题目1

然后我们还可从哪个ink文件中看到这个：

完整payload：

C:\Windows\System32\msiexec.exe /i Tje1w TRANSFORMS=fR6Wl /qn

于是上网搜索：

因为是中文代号，于是尝试下面这个，成功：

答案：海莲花 。

病毒分析-题目5

为了具体观察病毒行为，我修改了一下ink中的语句，取消了静默执行：

C:\Windows\System32\msiexec.exe /i Tje1w TRANSFORMS=fR6Wl

但是双击运行却发现：

因为之前读了相关文章，发现两个隐藏文件，一个应该是 .msi ，一个应该是 .mst ，文件后缀都丢了。

但补上之后，又是改命令，发现还是安装不了。

于是把阵地转换到windows server 2012，尝试安装，发现能成功。效果差不多是有命令行的框一闪而过，然后自动打开一个pdf文档。

于是继续用Procmon软件来捕获msiexec.exe的行为，设置规则如下：

于是可发现：

本题答案是：zRCAppCore.dll 。

病毒分析-题目4

然后直接交 题目5 的答案，发现：

下一个应该是这个文件：

最后一个应该在他们附近：

成功：

答案是：zRCAppCore.dll 、ISCTF2025基础规则说明文档.pdf 、zRC.dat 。

病毒分析-题目6

接下来提取出 .dll 文件，先DIE看一眼：

然后IDA打开分析，发现没有主函数，于是 Shift+F12 查看字符串。发现比较可疑的，可能意味着dll的调用：

于是双击并 Ctrl+X 跟进，发现：

应该是用 zRCAppCore.dll 处理 zRC.dat 。

在下面能看到：

有一段类似密钥的东西，还有异或算法。试了一下，发现对了。

本题答案：异或 。

病毒分析-题目7

根据上一问：

这边有用到一串类似密钥的东西，但是直接提交失败了。

观察了一下算法流程，发现了一个 % 9 ，但密钥长度是10。

猜测密钥只有前9位有效，于是截取提交，正确。

答案：tf7*TV&8u 。

病毒分析-题目8

因为了解到是异或算法，所以写了个脚本看能不能解密 .dat 文件：

from pwn import *

with open('./zRC.dat', 'rb') as f1:
    tmp = f1.read()
    f1.close()

key = b'tf7*TV&8u'

res = xor(key, tmp)

with open('./1.dat', 'wb') as f2:
    f2.write(res)

解密后放入WinHex中查看发现：

所以答案是：UPX 。

病毒分析-题目9

这时候上面这个文件查出来肯定有壳：

先做一个UPX解密：

再DIE发现成功脱壳，是32位程序：

改成 .exe 后缀双击运行，Procmon捕获，有一些操作，但是看不出什么：

至少说明了是exe这样的。

然后IDA打开分析，发现没主函数，于是还是 Shift+F12 看字符串，发现一些和http相关的：

按 X 对字符串做交叉引用：

进入到函数中可见域名：

答案：colonised-my.sharepoint.com 。

病毒分析-题目11

接上一题，我们能看到：

答案：get_cmd 。

病毒分析-题目10

首先把URL拼接好并访问能得到一个 c2.dat ：

但是尝试了一下base64解密，发现貌似不是。

怀疑是变表，于是在IDA中字符串找到了：

于是尝试用cyberchef解密：

貌似也不对。

看下文发现：

里面的代码有点分析不明白，但后续偶然意识到 c2.dat 中的密文中包含这两个字符串，可能作为分隔符。

于是分隔开后，对中间一段做base64变表解密时，发现：

看来这段可能跟IP地址加端口有关。

然后因为下文出现了这样的：

用python做尝试：

from pwn import *
a = b'56/343/39/69}26315'
b = 0x01
print(xor(a,b))

因此答案是：47.252.28.78:37204 。

病毒分析-题目12

访问上一问的IP地址+端口会发现：

点击flag会下载得附件，附件内容：