Artifak permulaan ialah pangkalan data sejarah Firefox. Jawapannya tidak tersimpan secara terus; pangkalan data itu hanya menyimpan pautan pertama dalam jejak yang merentasi repositori sumber, perbincangan commit, dan himpunan bukti yang dikongsi.
Bina semula jejak pelayar
Firefox menyimpan URL yang pernah dilawati dalam moz_places. Pertanyaan SQLite yang ringkas mendapatkan semula sejarah berkaitan mengikut susunan masa:
SELECT url, title, last_visit_date
FROM moz_places
WHERE url IS NOT NULL
ORDER BY last_visit_date DESC;Entri yang berguna menghala ke sebuah repositori nota. Komen pada commit merujuk repositori kedua, yang kemudiannya mendedahkan muat turun bersama berisi imej cakera dan gambar sokongan.
Periksa sistem fail, kemudian abaikan umpan
Pemeriksaan partisyen menemui sistem fail ext4 pada ofset satu mebibait dari permulaan imej. Direktori muat turun yang kelihatan mengandungi fail bersaiz sifar dengan nama yang menggiurkan, jadi penyenaraian sistem fail sahaja tidak mencukupi.
Kami mengekalkan imej itu dalam mod baca sahaja, kemudian beralih kepada file carving. Tandatangan fail dalam data mentah menemukan semula:
- sebuah arkib ZIP yang disulitkan;
- beberapa imej PNG;
- sebuah dokumen PDF.
Imej dan dokumen yang dipulihkan dibandingkan antara satu sama lain, bukannya diteliti secara berasingan. Salah satu nota memberikan kata laluan arkib; fail kosong yang jelas kelihatan hanyalah umpan.
Buka arkib terakhir
Kata laluan itu membuka arkib WinZip AES yang dipulihkan melalui file carving. Kandungannya memberikan bukti akhir yang diperlukan untuk penyerahan.
Inti penyelesaian
Sejarah pelayar selalunya ialah peta, bukan destinasi. Kekalkan kronologi, ikuti setiap rujukan repositori, dan periksa data yang tidak diperuntukkan apabila sistem fail yang dipasang kelihatan terlalu bersih.
Halaman acara: No Hack No CTF 2026 di CTFtime.
