2022祥云杯-strange_forensics

题目描述：

小赵的内存被dump下来了，你能找到flag嘛？flag分为三段，flag1为用户密码，flag3以.为结束符（.不算在flag里）
找到三个flag后依次拼在一起，用flag{}包上提交

把内存文件放到kali里面
看看有什么可打印文本,这里东西太多我就直接导出看了

把flag1-3都搜一遍，flag3有收获：

说flag1为用户密码，通过分析可以得知该linux是基于ubuntu的，因此可以直接搜@ubuntu去看有哪些用户

这里有个名为bob的，我们在以文件/etc/shadow内的储存格式进行搜索

解密后为

890topico
接下来是flag2，由于太菜，不会配置linux的profile，加之这是一个linux的内存镜像，因此只好用winhex去手撸

文件末尾有个压缩包，提出来
将00加密头改为09，这个压缩包应该是个真加密
修改的位置有两处：
1.504b03041400（压缩源文件数据区）后的：

2.504b01021f001400（压缩源文件目录区）后的：

去爆破得密码123456


好了，依次拼接得flag

flag{890topico_y0u_Ar3_tHe_LInUx_forEnsIcS_MASTER}