题目说明

题目来源: XSCTF联合招新赛

题目描述: 某星星在离职前给公司服务器来了一记rm -rf /*,真实演绎了什么叫"删库跑路",老板把恢复数据的希望寄托在刚刚入职的你身上。你能帮助公司恢复出硬盘里的重要数据吗
Hint1:通常来说删除文件只是把磁盘上对应的空间标记为未使用状态,数据本身还是存在于原本的位置
Hint2:有一款强大的工具可以识别或提取常见二进制文件内的数据

解题过程

下载附件

首先,先从平台下载附件,我们得到了一个内容为vm-106-disk-1.qcow2的文件。文件压缩前大小为512.3MB,压缩后为631.6KB。

关于qcow2

QCOW2是一种高级的虚拟机映像文件格式,由QEMU开发,用于存储虚拟机的磁盘映像。它可以在不同的操作系统之间共享,并具有更高的压缩率,更快的读写速度和更低的磁盘空间占用率。

使用010Editor

使用010Editor打开,发现大部分内容全是00,我们尝试一下使用文件分解的方式找一下有没有文件包含在其中。

分离出来一个256、一个512MB的ext文件,还有一个gzip文件。

在zip中找到flag

1
flag{c28c424b-fd8c-45b9-b406-0a933b1ca7b1}