CTF解题

第一题 金三胖

打开后每隔几帧会有插入的图片一闪而过

思路:用ps修图软件或者 stegsolve.jar(前提是要有java环境)因为是gif图片 需要逐帧浏览

这里我使用stegsolve.jar

File Format:文件格式,这个主要是查看图片的具体信息
Data Extract:数据抽取,图片中隐藏数据的抽取
Frame Browser:帧浏览器,主要是对GIF之类的动图进行分解,动图变成一张张图片,便于查看
Image Combiner:拼图,图片拼接

逐帧浏览
avatar

avatar
可以看到左上角有1 of 89 也就是有89帧数

找到21帧
avatar
Save保存

找到51帧
avatar
Save 保存

找到79帧
avatar
Save保存

得到flag{he11ohongke}

这题的核心是 使用 stegsolve.jar逐帧 查看


第二题 二维码

下载完题目
打开看到 一个二维码 扫描得到 Secret is here // 翻译:秘密就再这里
avatar

猜测可能是二维码图片里面包含的有东西

丢到kalilinux 里面

Cat命令查看一下

avatar
看到了末尾有个4number.txt

这时候需要我们掏出binwalk这个脚本分析提取

binwalk filename(文件名字) 让binwalk 这个脚本进行分析
avatar
总共分为三块

第一块是png 也就是二维码

第二块是个txt

第三块是个zip

Binwalk -e filename(文件名字) 进行提取

得到了个目录

进入目录zip打开看看

avatar

哦豁,有密码,里面有个4number.txt 提示是4位数字 那就爆破一下试试吧

上软件ARCHPR 别的脚本不会用太菜了(懒狗)

avatar

得到密码解开压缩包打开txt得到flag

avatar

你以为这样就对了吗?
有些时候出题人喜欢绕圈子
得到的flag可能是大小写问题或者是比赛的前缀

比如百度杯flag形式

Bctf{xxxxxx}

其实真正的flag是 flag{vjpw_wnoei}

这一题的两个核心是 binwalk 文件分离 和 zip爆破


第三题 N种解决方法

下载压缩包解压后得到

avatar

Key.exe 可执行文件

Win10打开显示无法运行

avatar

看看writerup去(太菜了)

writerup上写的是丢到winhex软件中分析

avatar

可以看到是data:image 也就是base64加密的图片

也可以直接吧KEY.exe改后缀为txt文本格式

avatar

Cat 命令也可以解

avatar

解法有很N种。。

最简单的就是改后缀为TXT

复制一下data:image后面的内容 url地址栏解析一下

得到一张二维码
avatar

扫描二维码看看

avatar

KEY{XXX}

改为flag{xxx}

提交即可

这题的核心是base64 图片的解析


第四题 大白

下载zip 打开 为一个 dabai.png

avatar

看下属性有无解题提示
avatar

不难看出来 只有一个头少了 半个身子,可以丢到 winhex 软件里面去恢复一下高度

avatar

通过查看 图片我们可以看出来 图片的宽和高都是以16进制表示的 在 offset 00000010此行

接下来我们修改dabai.png图片的高
原本是16进制 100,之后改为了十六进制 300

avatar

十六进制300也就是十进制的768

avatar

修改后保存 我们看看属性

avatar

高度发生了变化

重新打开得到flag
avatar

此题核心是winhex 的使用 和 png图片的高度与宽度在winhex 中的位置,以及16进制和10进制的转换


第五题 你竟然赶我走

下载压缩包 解压

打开图片先看看详细信息

没找到有用的信息

avatar

丢winhex 里面去看看
先去搜索flag

avatar

可以看到文件末尾有flag

avatar
copy下来

穎lag IS flag{stego_is_s0_bor1ing}

改为

flag IS flag{stego_is_s0_bor1ing}

这题的核心是使用 winhex 搜索 关键字 “flag”


第六题 基础破解

下载压缩包 打开 需要密码

avatar

根据题目提示四位数字密码

avatar

上软件 ARCHPR

avatar

得到密码:2563

avatar

打开看到了一个base系列的编码(为什么一眼看出来是base编码呢?因为base编码有特征)

根据这个=号 不出意外就是base编码
avatar

丢到在线网站base编码去看看
avatar

可以看到有base16和base32 和base64,不确定是 base 16 32 64 都试一下

avatar

最终解得
flag{70354300a5100ba78068805661b93a5c}

这题的核心是 压缩包的一个爆破和 base编码的一个认识


第七题乌 镇峰会种图

这回下载不是压缩包了 是一个jpg的图片

打开图片的属性找到详细信息

没有找到提示

丢winhex 去 搜寻一下flag先
avatar

很简单找到了 复制 粘贴 提交 一气呵成

avatar
flag{97314e7864a8f62627b26f3f998c37f1}

这题的核心也是使用 winhex 搜索 关键字 “flag”


第八题 LSB

是不是暗示出题人是 老色比 ?

其实不然

“LSB:RGB最低有效位隐写,人眼无法识别”

下载压缩包解压打开图片

avatar

中国矿业大学,上此大学的肯定家里都有矿 (滑稽)

虽说是lsb隐写

但是我们也要按照常规的思路看看属性

avatar

没有线索
下一步
lsb隐写 需要用到stegSolve这个软件

导入图片

avatar

选择

avatar

Data Extract:数据提取

avatar

Save Bin

avatar

丢到winhex 里面

看到文件头是png

avatar

左上角 Save as 333.png

avatar

avatar

得到一个二维码
avatar

扫描查看
avatar

cumtctf{1sb_i4_s0_Ea4y}

提交时 改为 flag{1sb_i4_s0_Ea4y}

这题的核心思路是 lsb 最低有效位提取 ,提取之后保存为bin文件也就是二进制文件 再次丢到winhexhex中另存为 png 有点小难度


第九题 文件中的秘密

下载压缩包之后 解压得到 一个jpeg图片

avatar

看题目

avatar

还是之前的思路先去看看图片中的属性

找到了

avatar

提交

这题比较基础 属于有手就行

这题 核心就是看你拿到图片时候有没有细心去查看属性


第十题 rar

题目已经提示你了 需要爆破而且是纯4位数字

avatar

下载压缩包之后看看

avatar

里面还有个rar 应该不是那么简单

上软件ARCHPR

导入显示被损坏 或者是未加密软件
avatar

丢到winhex去看看没发现啥(不太了解zip结构)

使用winrar打开发现是个文件夹

avatar

再次打开 rar.zip 尝试把.rar后缀的文件拖出来 结果可以拖出来

目测应该是zip伪加密

继续使用ARCHPR
avatar

avatar

得到
avatar

flag{1773c5da790bd3caff38e3decd180eb7}

本题核心是 zip伪加密认识 和 zip爆破


第十一题 wireshak

提前安装好 wiresahk
下载压缩包解压后发现是个.pcap文件
avatar

看看题目
avatar
重点:登录网站的一段流量包

登录使用的是http协议的post方法提交的表单

使用wireshak打开

control +f 选择 搜索字符串 “post”

avatar

得到flag{ffb7567a1d4f4abdffdb54e022f8facd}

本题的核心是http协议 和post提交表单的知识点以及wireshak 的使用


第十二题 qr

题目已经写了是一个二维码

下载打开发现确实是一个二维码 .png格式图片

按照之前的思路我们去打开属性看看有没有有用的东西

avatar

这个大小好像没有问题

详细信息这边没有问题

avatar

扫描看看

avatar

看来是我思路有些问题

flag{878865ce73370a4ce607d21ca01b5e59}

本题很简单 核心主要看你做题的步骤和思路是否清晰


第十三题 ZIP伪加密

下面两张图是我偷的

avatar
avatar

来了解一下ZIP文件的组成
一个 ZIP 文件由三个部分组成:压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志

a.压缩源文件数据区:

50 4B 03 04:这是头文件标记(0x04034b50)
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密,奇数加密,偶数无加密)
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
00 00:扩展记录长度
6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500

b.压缩源文件目录区:

50 4B 01 02:目录中文件文件头标记(0x02014b50)
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本
00 00: 根据压缩源数据区(奇数伪加密,偶数无加密)
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
24 00:扩展字段长度
00 00:文件注释长度
00 00:磁盘开始号
00 00:内部文件属性
20 00 00 00:外部文件属性
00 00 00 00:局部头部偏移量
6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001

c.压缩源文件目录结束标志:

50 4B 05 06:目录结束标记
00 00:当前磁盘编号
00 00:目录区开始磁盘编号
01 00:本磁盘上纪录总数
01 00:目录区中纪录总数
59 00 00 00:目录区尺寸大小
3E 00 00 00:目录区对第一张磁盘的偏移量
00 00 1A:ZIP 文件注释长度

来自 https://blog.csdn.net/MikeCoke/article/details/105877451

我们打开winhex 找到下面圈的位置

圈中的改为00 00

avatar

avatar

再次打开zip

avatar

得到flag{Adm1N-B2G-kU-SZIP}

这题看的我头皮发麻 十六进制密密麻麻

参考了:https://www.cnblogs.com/harmonica11/p/11365794.html

这篇文章写的不是很明确

可以参考这篇:https://blog.csdn.net/MikeCoke/article/details/105877451

本题核心难点就是对 zip压缩包的构造是否了解 各个offset段的理解


第十四题ningen

avatar

下载得到一个jpg

avatar

这是神马玩意

看一下属性

avatar

avatar

这个文件大小好像不对劲

详细信息没有啥

丢到kali linux 里面康康

avatar

滑到底部

avatar

这个图片里面包含了一个ningen.txt

我们把它分离出来

这时候虚拟机突然死机了

找到虚拟机存放目录

avatar

删除lck文件
重启即可

用kalilinux 中自带的binwalk脚本可以分析出一个zip里面包含一个ningen.txt

使用binwalk提取

avatar

题目说了日本的科学家喜欢4位数的密码

那就上工具开始爆破吧

由于之前爆破的RAR口令没有恢复继承上次的口令之后爆破很快

avatar

avatar

本题核心是binwalk脚本文件的提取和 zip爆破


第十五题镜子里的世界

avatar

没啥提示
康康图片属性

avatar

avatar

图片可能包含的有东西

丢kalilinux 看看

没找到有用的线索

avatar

那换个思路 丢到wireshak 查看是否存在flag

avatar

文件头没有是问题

查找一下flag

avatar

avatar

好吧换路

使用stegSolve 康康

avatar

颜色差异各个通道看了没有啥信息

试试lsb 隐写

avatar

看到有一串英文

英文翻译
avatar

看到 key is st3g0_ saurus_wr3cks

提交 flag{st3g0_saurus_wr3cks}

本题的核心是 lsb隐写和stegSolve使用


END:

前十五题Misc已经复现完毕 也学到了点东西,本人CTF小白,大佬就当看水文笑笑吧。

By___Guy_psycho

⬆︎TOP