picoCTF Forensics

# picoCTF Forensics -需事先安裝 1.binwalk 2.wireshark 3.whois ## 1.hideme 這是下載的圖片 ![](https://hackmd.io/_uploads/HJQY6q-xa.png) 輸入 binwalk -e flag.png 會發現提取出.extracted檔案 ![](https://hackmd.io/_uploads/r1jgLsZg6.png) 進入資料夾中找到答案的照片 ![](https://hackmd.io/_uploads/rk1ZujZxp.png) ## 2.PcapPoisoning 打開檔案發現許多封包 ![](https://hackmd.io/_uploads/Bk2QQwfgT.png) 在tcp中搜尋關鍵字即可過濾到答案 (點選as printable text 複製) ![](https://hackmd.io/_uploads/SJLm4Dzlp.png) ## 3.who is it 打開郵件原始碼能找到他的ip ![](https://hackmd.io/_uploads/S1KCchtl6.png) 輸入 whois 173.249.33.206 即可找到姓名 ![](https://hackmd.io/_uploads/B1E_pIqga.png) ## 4. isk, disk, sleuth! (So Meta) 先gunzip解壓縮再搜尋關鍵字 ![](https://hackmd.io/_uploads/Skg_XPcga.png) ## 5.Disk, disk, sleuth! II 先gunzip解壓縮再使用 mmls 列出照片使用的區塊(從2048開始) ![](https://hackmd.io/_uploads/HkJJAkk-p.png) 使用 fls 列出資料夾 ![](https://hackmd.io/_uploads/BkfjAyy-6.png) 查看root發現提示中出現的txt檔案在18291 接著使用icat打印flag ![](https://hackmd.io/_uploads/B1Cmke1Wa.png)