还是misc类型深得我心

00x0前言

    我个人感觉杂项就是压缩包与图片的花样式折腾。最近在做buuctf的misc,浅浅地记录下我的题解吧。

    然后对下面的题目归个类:

一、图片类型

  • gif逐帧分析:(题目1)

  • 文件隐写:

    • 用foremost工具,分离出图片里面的压缩包文件(题目2,16,17,18)

    • 图片中包含其他文件:用stegsolve的data extract处理(题目10,15)

    • 图片为其他类型后缀:用stegsolve的data extract的预览可查看(题目22)

  • 十六进制查看图片:用winhex工具(题目3,6,9,20,21)

  • 改文件后缀名:(题目4)

  • 还原图片原始高宽度:(题目5)

  • 查看图片属性:(题目18)

二、压缩包类型

  • 破解加密压缩包:用ARCHPR工具(题目2,7,11,16,17,23)

  • zip伪加密:用zipcenop工具解密(题目12)

三、pcap包

  • wireshark搜索flag:(题目8,13)

  • wireshark追踪tcp流:(题目19,25)

四、音频文件

  • 包含摩斯密码,利用在线音频文件转文本网站(题目24,28)

00x1金三胖

    题目是张gif,点开之后,感觉隐隐飘过一些红字,我甚至清晰地能看到了flag这几个字母,当然我眼神再好也瞧不全。想到通过分析gif的各帧就应该能看到。

    这里推荐一个在线网站:giffenjie

    然后就成功分解,成功看到答案:

    拼接起来就是flag{he11ohongke}

0x02 二维码

    题目是一张二维码,扫描之后也并没有发现flag,然后用工具foremost尝试看是否隐写,啊果然,里面还藏着一个压缩包。

    然后我兴致冲冲地打开,里面有一个txt文档居然加密了。我不甘心,利用工具ZipCenOp检验它是否是伪加密,压缩包拖进去,文件倒是不加密了,直接损坏了,看来是真加密呀。于是只能使用工具ARCHPR对这个zip进行暴力破解密码,看到这个txt叫4number.txt,应该是提示密码是4个数字,所以打开工具,设置范围0000——9999,设置最小长度和最大长度都是4,成功破解密码为7639。

    打开文档,得到CTF{vjpw_wnoei},所以答案为flag{vjpw_wnoei}

0x03 你竟然赶我走

    题目是一张图片,然后我顺手就用十六进制工具winhex打开了图片,看到文本的最后就藏着flag。不错,几秒钟就解密了,我都还没缓过神就看到答案了。

    得到题解为flag{stego_is_s0_bor1ing}

0x04 n种方法解决

    题目是一个KEY.exe,我尝试打开,无果,然后我就开始改后缀名了,改成KEY.txt,打开是一段图片的Base64编码的DataURI形式。

1
图片的Base64编码的DataURI形式:data:image/jpg;base64,编码内容

    看到这个格式的内容直接往浏览器的网址里面一放,然后神奇的事情就会发生,可以还原成图片啦,是一张二维码。扫描就可得到题解为flag{dca57f966e4e4e31fd5b15417da63269}。

0x05 大白

    看到题目提示说“看不到图? 是不是屏幕太小了”,然后发现题目给了一张大白的图片,根据提示猜测是不是图片未显示完全。然后了解了一下png图片的基本构造:

    用一个python脚本可以算出图片的原始大小的高度和宽度:

1
2
3
4
5
6
7
8
9
10
11
12
import os
import binascii
import struct
crcbp = open("dabai.png", "rb").read() #打开图片
for i in range(2000):
for j in range(2000):
data = crcbp[12:16] + \
struct.pack('>i', i)+struct.pack('>i', j)+crcbp[24:29]
crc32 = binascii.crc32(data) & 0xffffffff
        if(crc32 == 0x6D7C7135): #图片当前CRC
        print(i, j)
        print('hex:', hex(i), hex(j))

    得到结果,的确和现在图片大小不一致:

     然后用十六进制编辑器winhex打开图片,将对应的高度修改为正确的并保存,就可以看到完整的图片啦。

    题目题解为flag{He1l0_d4_ba1}

00x6 乌镇峰会种图

    用winhex打开图片,在文本的最后就能看到flag,题解为flag{97314e7864a8f62627b26f3f998c37f1}

0x07 基础破解

    题目已经给出提示啦,是个四位数字的加密压缩包。上破解工具archrp,得到口令为2563。解开是一串base64的字符串,直接题解不对,进行解码提交就行啦。

    题解为flag{70354300a5100ba78068805661b93a5c}

0x08 wireshark

    用wireshark打开题目,搜索关键字flag,然后就看到了答案,提示说管理员密码就是题解。题解为flag{ffb7567a1d4f4abdffdb54e022f8facd}

0x09 文件中的秘密

    用winhex打开图片,搜索“flag”没看到,然后我稍微往下一番,就看到经过变形的flag,题解为flag{870c5a72806115cb5439345d8b014396}

0x10 LSB

    提到了LSB就用stegsolve打开图片,在左右翻看图片时red plane 0上方好像有一行字,用data extract处理隐写的图片。

    将信息保存为png图片格式,打开是一张二维码,扫描可得到题解为flag{1sb_i4_s0_Ea4y}

0x11 rar

    题目提示是一个纯四位数字加密的压缩包,直接用archpr进行暴力破解,得到口令为8795。成功解密压缩包之后,可以看到题目的题解为flag{1773c5da790bd3caff38e3decd180eb7}

0x12 zip伪加密

    都说了是伪加密了,我就不用winhex改了,直接用工具自zipcenop对伪加密的zip压缩包进行解密,得到flag{Adm1N-B2G-kU-SZIP}

0x13 被嗅探的流量

    用wireshark打开题目,查找flag,因为提示说是什么类型的文件,在搜索到的分组字节流中共有两端,第二个就是一个图片类型的字节流。于是打开,在里面发现了题解flag{da73d88936010da1eeeb36e945ec4b97}

0x14 qr

`直接解密二维码就行, 题解为flag{878865ce73370a4ce607d21ca01b5e59}

0x15 镜子里面的世界

    仔细放大这张照片,完全看不到什么,用stegsolve打开,在左右查看时,发现有几帧的左上角似乎有字,比如red plane 0。但看不清楚,于是用data extract勾选rgb之后预览,可以看到题解flag{st3g0_saurus_wr3cks}:

0x16 ningen

    题目是一张图片,而提示却说到了文件密码是4位数,所以这张图片里面肯定隐写了,用foremost提取,果然看到一个加密的zip压缩包。

    然后用archpr暴力破解得到口令为8368。解开加密文件,得到题解为flag{b025fc9ca797a67d2103bfbc407a6d5f}

0x17 小明的保险箱

    和上一题一模一样的思路,暴力破解得到口令为7869,解开文件得到题解为flag{75a3d68bf071ee188c418ea6cf0bb043}

0x18 爱因斯坦

    看起来图片没什么异常,用foremost尝试分离,得到一个加密的zip文件。但是没有任何密码提示。查看原始图片的属性,发现有一个备注“this_is_not_password”,尝试解密文件,解密成功。得到题解为flag{dd22a92bf2cceb6c0cd0d6b83ff51606}

0x19 easycap

    用wireshark打开题目,查找分组字节流的flag,没有找到,然后仔细一番检查,好像没有什么特别的。然后随便右击一个字节流,在追踪流中选择TCP流:

 

然后就神奇的看到了flag,题解为flag{385b87afc8671dee07550290d16a8071}

0x20 隐藏的钥匙

    用winhex打开图片,搜索flag,就能看到用base64加密的字符串,解密即得到题解:flag{377cbadda1eca2f2f73d36277781f00a}

0x21 另外一个世界

    用winhex打开该图片,发现在末尾有一串二进制数字,以八个为一组,对照ascii码,得到题解为flag{koekj3s}

0x22 FLAG

    题目是一张图片,一顿找之后没有结果,然后用stegsolve打开,用data extract打开,rgb调成0之后,预览看到是一个zip的文件,所以将其保存为zip。

    在对这个压缩包解压时提示文件已经损坏,用WinRAR里面的工具修复,然后继续解压,用记事本打开这个1文件,里面发现了题解:

    所以题目题解为flag{dd0gf4c3tok3yb0ard4g41n~~~}

0x23 神秘龙卷风

    根据题目提示,先用工具archpr暴力破解加密压缩包,得到口令为5463:

    解密之后打开文本,发现是由+.>组成的字符串,百度了一下由这种字符串组成的加密方式,叫做brainfuck编码。这里有个网址记录的加密方式很全:ctf常见加密。然后去解密网站brainfuck,点击brainfuck to text,得到flag{e4bbef8bdf9743f8bf5b727a9f6332a8}

0x24 假如给我三天光明

    题目有一个加密压缩包和一张图片。根据题目意思,联想到图片下面的图形应该是盲文,然后解密得到字符串kmdonowg,成功解开压缩包:

    是一段音频文件,一听就觉得是摩斯密码,自己尝试用耳朵听了一下,不行,什么都听不出来,还是直接找网址转换吧。用这个morsecode可以对上传的音频文件转为文本:

    提交flag为flag{wpei08732?23dz}时正确。

0x25 数据包中的线索

    用wireshark打开题目,点击查看http的tcp追踪流:

    发现下面的一长串字符串像图片的 Base64 编码的 DataURI 形式。于是复制下面的字符串,在前面加上data:image/jpg;base64,放在浏览器中,出现了一张图片。或者这里也可以直接把字符串放到base64解密网站,可以得到一张图片。

0x26 后门查杀

    这题其实下载的时候,电脑的安全管家就提示了哪个文件里面可能包含木马,或者把整个文件夹放到病毒扫描里面查找。这里我随便找了几个文件,最后在html——>include——>include.php中看到了密码:所以题解为flag{6ac45fb83b3bc355c024f5034b947dd3}