2025 第五届极客少年挑战赛 初赛 中学组 第二场MISC writeup

随波逐流工作室—-探索前沿科技，分享最新软件。点击标题下蓝字“长弓三皮”关注，我们将为您提供有深度、有价值、有意思的阅读。

朋友们，现在只对常读和星标的公众号才展示大图推送，建议大家把长弓三皮“设为星标”，否则可能就看不到了啦！

作者：随波逐流

1、币圈追踪术

小艾同学有一个远房亲戚在网上搞投资被骗了很多钱，有不少钱都是要求购买虚拟货币进行投资，小艾同学通过对其中一个钱包地址的追踪，追踪到中间交易地址有：0x8b9a885b656dcc9016a9f1b366e0cfdb5cb03661、0x75e869347e7c3094d441793d9f24dc95f2aa07ef、0xdb639b5aa638e7ecf7f983390a513760e7877c66；你能帮忙看看，这些资金接下来去向哪个地址了吗？（流出交易笔数最多的接收地址）。提交交易地址为flag（格式为0xdddddddddddddddddddddddddddddddddddddddd的地址）

 问了一下AI

若国内无法直接访问 Etherscan，可通过以下 合规、安全的替代方案 查询以太坊链上交易记录，继续完成钱包地址追踪，核心思路是使用国内可正常访问的区块链浏览器工具：

一、国内可用的以太坊区块链浏览器推荐（合规工具）

以下平台均支持以太坊主网交易查询，功能与 Etherscan 类似，且国内可直接访问：

二、具体操作步骤（以 Tokenview 为例）

以查询第一个目标地址 0x8b9a885b656dcc9016a9f1b366e0cfdb5cb03661 为例：

1. 打开 Tokenview 以太坊浏览器访问 https://eth.tokenview.io/，在顶部搜索框直接输入目标钱包地址，点击搜索进入地址详情页。

2. 筛选 “流出交易”在地址详情页中，找到 “交易记录” 模块，通过筛选条件（通常标注为 “类型” 或 “方向”）选择 “转出”（即流出交易，对应 Etherscan 的 “Outgoing Transactions”），此时页面仅显示该地址向外转账的记录。

3. 记录接收地址每笔转出交易的 “接收地址” 会在 “To” 列明确显示，逐笔记录所有接收地址（注意仅统计 “成功” 状态的交易，过滤 “失败” 交易）。

4. 批量查询并统计重复上述步骤，分别查询另外两个地址 0x75e869347e7c3094d441793d9f24dc95f2aa07ef 和 0xdb639b5aa638e7ecf7f983390a513760e7877c66 的所有流出交易接收地址，汇总后统计每个接收地址的总交易笔数。

0xcad621da75a66c7a8f4ff86d30a2bf981bfc8fdd

2、像素密码

不要被花花的外表萌到哟~ 她的像素里可是藏着Flag呢~~

不管他是什么，先拖入[随波逐流]CTF编码工具

flag{StegInRGB}

3、容器里的幽灵

小艾参与调查了一个被人入侵过的Docker镜像，管理员一直怀疑里面有可疑的进程，但是查看进程又一切正常，你可以协助分析，找到原因，并且获得Flag吗？Flag格式为 flag{xxxxxxxxxxx}

misc.dockerimage.tar

上传给AI分析一下

在4390328b6896657892bdd9899b5c9409dbca333a525f68fcf11a3120c4648209.json文件中，容器的启动命令包含关键信息：

"Cmd":["sh","-c","export FLAG=$(cat /var/bin/trueflag); rm -rf /var/bin/trueflag; tail -f /dev/null "flag{${FLAG}}" & while true; do sleep 1; done"]

命令执行流程分析：

从/var/bin/trueflag文件读取 Flag 内容并导出为环境变量FLAG

删除/var/bin/trueflag文件（清除痕迹）

启动一个tail -f进程，其参数包含flag{${FLAG}}格式的字符串

虽然trueflag文件被删除，但tail进程在启动时已经将包含完整 Flag 的字符串作为参数传入。因此可以通过查看进程列表中tail进程的参数来获取 Flag。

获取 Flag 的方法：在容器内执行ps aux | grep tail，查看tail -f /dev/null "flag{...}"中的完整 Flag 内容。

最终 Flag 格式为：flag{xxxxxxxxxxx}（具体内容需通过上述方法从进程参数中提取）

你若喜欢，为“长弓三皮”点个赞和在看哦