除校赛外初次参加ctf比赛…我好菜orz
不过还是很开心体验了回生活，收获了个中二狗和荷兰猪的双人战队哈哈哈
好了，来讲讲这道征婚题目吧，真的哭了出来，明明就差一点…
对了，想做这道题的可以去守夜人ctf平台

首先看下载过来的文档格式，发现是raw，然后百度了下发现是拍照格式，下载了acdsee发现打不开
于是我用linux虚拟机binwalk了一下它
有这么多东西，估计是个系统盘，然后想到了内存取证
内存取证入坑指南（从这里汲取下营养）
用volatility来读取
然后接下来进行一系列花里胡哨的操作，也就每个指令都试了一次吧，这里打出有用的指令
（为了方便打字我把征婚那个重命名为了123.raw）
volatility -f 123.raw imageinfo
猜测镜像系统
在第四行处可以看出是winXPSP2x86

然后volatility -f 123.raw --profile=WinXPSP2x86 pslist
查看正在运行的exe

这里看到notepad

打开

找到hint是Need money and girlfirend…最后女朋友还打错了= =
我也需要啊啊啊啊啊！！！
继续找。忽然突发奇想看看他cmd的使用记录

看到了flags，但还是不知道有什么用…
试试导出截图volatility -f 123.raw --profile=Win7SP1x64 screenshot --dump-dir=./

看不出来是个什么东西。
后来想了想出题人的出题顺序，看进程时间，发现画图的mspaint耗费时间长，应该有东西。
所以导出dump，改为data试试用gimp打开。
这里有详细的volatility 加gimp使用指南
然后试试偏移。。。。
两个小时后搞出来三四张有意义的图

然后这里看到了PJCX，联想到之前hint的前四位是？？？？
然后这一步栽了，没想到这是倒过来的菠萝，我还以为是什么远古浮游生物= =
翻转过来以后可以看到是b1cx
然后得出b1cxneedmoneyandgirlfirend
然后知道了hint继续用内存取证看看有什么东西
搜索下图片什么的，jpg png txt都试试，然后
volatility -f 123.raw – profile=WinXPSP2x86 filescan|grep png

找到桌面有张菜的vegetable图片，提取出来

应该是被修改过宽高，这里用linux是打不开的，会提示crc校验错误，可以用windows打开（windows忽略crc校验）；但是还是放不进steg里，所以还是要写脚本爆破png正常的高度。
放上脚本（根据网上的脚本修改的）python脚本

# -*- coding: utf-8 -*-
import binascii
import struct#\x49\x48\x44\x52\x00\x00\x01\x1F\x00\x00\x01\xA4\x08\x06\x00\x00\x00crc32key = 0xB80A1736
for i in range(0, 65535):height = struct.pack('>i', i)data = '\x49\x48\x44\x52\x00\x00\x01\x1F' + height + '\x08\x06\x00\x00\x00'crc32result = binascii.crc32(data) & 0xffffffffif crc32result == crc32key:print''.join(map(lambda c: "%02X" % ord(c), height))

成功得出了0000000D然后用winhex修改第二行内码中的高（众所周知png图片第二行是宽高）
？？这谁看的清…
然后。。。。。
hhhh这里要感谢荷兰猪 凌晨四五点用她的生命在尝试看清那个flag,成功从flag中看出了小人和葫芦（没错第一个就是个大葫芦不是英文字母）所以不可能是正确flag。
我也试着用python脚本去除马赛克，然后结果如下…
看我菜的两眼发光！

让我感受到了生命的美好和暴打出题人的必要性hhhh

然后想到了lsb隐写，用steg来打开
然后我还把每个0和1自由组合点了好久，6种模式也点了好久，没有在文本里找到flag，果然是菜蒙蔽了我的双眼
然后百度了好多png的lsb隐写终于找到
然后用cloacked-pixel测试了下（此时比赛已经结束一小时，累计32小时没睡的我还是不甘心）附上上图这个网址（点击超链接）
有png的隐写知识
https://github.com/livz/cloacked-pixel
这个是文章里推荐的脚本，类型和这个差不多，刚好都需要密钥，hint总不可能没用吧！
下载过来的脚本里有使用方法然后会报错，需要安装matplptlib这个绘图库
这个是详细介绍安装画图模块的
https://www.cnblogs.com/-1307/p/6529269.html
这里吐槽一句，python3应该是自带这个库，但这脚本是用python2写的= =
然后由于我是在linux里安装最后报错权限不足，老样子命令前面加sudo就好了，像这样。
又是熟悉的3kb/s，无语凝噎

终于下好了，运行又发现还要安装这个库…继续
https://blog.csdn.net/superrunner_wujin/article/details/65945452
这个网站完美解决，其实也就一条命令sudo apt-get install python-tk 解决
再次运行成功
出来了1.txt
打开后里面是一段base64（末尾两个=）
拿出我好用的计算器解base64（当然在线解码也可以啦，不过要考虑到以后可能断网比赛的情况，每种密码的脚本或者本地工具最好也能备一份）

可以看到输出有提示是维吉尼亚解码，然后不会写脚本…我好菜，于是百度个在线网站，推荐中文网站，因为打开速度快…
然后密钥应该还是那个hint（毕竟没别的了啊）
发现

那就把密钥b1cxneedmoneyandgirlfirend中的1去掉吧
得到
flagisd7f1417bfafbf62587e0
嗯哼，flag出来了。
总结：misc果然是玄学，百度大法好(・∀・(・∀・(・∀・*)
下次比赛再接再厉吧！果然肝的还是不够= =