SUCTF2026 misc方向wp

SUCTF_2026_Misc

实际上本次题目我只写出一道签到题，其余均是有相关进展但没有解出

---

SU_CyberTrack

首先拿到了一个github的blog网址，进入后大概拿取每一篇文章大意：

1. Today -> Momo 是一只布偶猫（ Ragdoll cat）
2. Sad -> 没东西
3. Normal life -> 提到和shukuang是同事
4. Don’t spam -> 邮件被轰炸
5. How they found me?? -> 旧网名被找到
6. Happy birthday -> 2024年11月23日生日
7. Play with me t_t -> 2hi5hu没打mc，mc用户名叫Mnzn233

以及两张截图: 一张邮件截图，从中可看出使用的邮件是foxmail，并且开启了自动回复（Auto_reply）。还有一张MC截图，从中得到mcID：Mnzn233

由于给出了blog名字“evan lin”和生日1123，猜想其邮箱名字为evanlin1123@foxmail.com

随后考虑到头像为avatar，其图片名称一般为邮箱哈希值，我们拿到她的哈希值为：105e127d86711d05460e6072f7d809c5c9e0fe095ca7631e4c2e0ffc4acc3fa9

通过在线网站解得，evanlin1123@foxmail.com的哈希与之匹配，猜想正确。

由于邮箱开启了自动回复，我们尝试向邮箱发送邮件，拿到回复：

由此我们拿到了题目的第一部分，就是名字部分。

接下来是第二块，拿到一个特定的字符串。

这边我想了很久不知道怎么进行了，看了Flux的wp之后才知道

网上搜索MC的ID：Mnzn233，在一个网站中找到她可能的曾用名：

最后在X也就是twitter上找到了TurbidCloud：

进入discord得到字符串：

SU_forensics

这是一道.ad1格式的取证题，

使用FTK挂载ad1文件之后，导出Windows\System32\config\SYSTEM文件

用Registry_Explorer打开，导航到HKLM\System\CurrentControlSet\Control\Windows

查看ShutdownTime：

得到E2-9E-E6-AC-81-AC-DC-01，由小端存储得到题目1答案：

2026/03/05T17:23:06

同时在FTK导出TabState文件：

Users/administrater/AppData/Local/packages/Microsoft.WindowsNotepad_8wekyb3d8bbwe/LocalState/TabState

分析过后要恢复的是：992ff4a3-c3e9-401e-9320-82ddc5fa9d31.bin

恢复脚本可以看https://github.com/ogmini/Notepad-Tabstate-Buffer

恢复之后得到：

Key instructions:
1.Key must not be entirely stored on disk
2.The key has four parts
3.The key requires reshuffling order:1-4-3-2
4.There is a Key generted by AI
complete

md5哈希值为：c1c4c50f51afc97a58385457af43e169

根据提示，密钥1要看utools，于是我们关注utools部分，经过查看，怀疑在clipboard剪贴板中

这里我并不知道怎么进行下去，只知道这里是最可疑的，有一些加密的data文件。

经过复盘，相关utools剪切板取证文章：
https://www.cnblogs.com/wxjzc/p/18129696

这里后面是Flux队伍wp中的部分

其中的第一密钥为：

zQt$d3!GIS9l.aR@7ELN

其实这里还拿到了第四密钥：A9!fK2@pL4#tM6$wN8%yR1^uD3&hJ5*Z

同时得到信息：第三密钥为第二密钥生成时间的时间戳

需要解析indexedDB数据库：

我不会qwq

我不会qaq

这里别人在cherry_studio解出来发现没有相关第二密钥的东西，考虑到还有ollama，有可能是本地模型ollama命令行生成的，所以我们要解析ollama的db.sqlite数据库：

abc\Users\Administrator\AppData\Local\Ollama\db.sqlite

解析后：

得到第二密钥：

4dE23eFgH7kLmNpOqRstUvWxYz012345678901234567890123456789

得到chatid和时间，以及时间戳（第三密钥）:

019cbe60-6803-70fe-8ab5-e0035399980f

2026/03/05T22:25:24

1772720724

于是有问题4答案：019cbe60-6803-70fe-8ab5-e0035399980f_2026/03/05T22:25:24

关于问题6：

在AppData的Ollama文件夹下的app.log中找到了一句： **time=2026-03-05T21:58:17.244+08:00 **level=WARN source=ui.go:1567 msg=”failed to check upstream digest” error=”Head "https://ollama.com/v2/library/deepseek-r1/manifests/8b\“: dial tcp: lookup ollama.com: no such host“

所以题目6答案为：2026/03/05T21:58:17

题目7实际上是cherry中的chat记录：

碎碎念，这题7我是枚举出来的，我把所有messageID试了一遍，得到了这个ID

题目5是密钥拼起来：

zQt$d3!GIS9l.aR@7ELNA9!fK2@pL4#tM6$wN8%yR1^uD3&hJ5*Z17727207244dE23eFgH7kLmNpOq RstUvWxYz012345678901234567890123456789

把7个问题答案拼起来之后md5哈希得到flag：

SUCTF{39e850db5d740c54df4281e39fb3866d}