0x00 记录一下,代表自己做过
0x01 flag_universe
看简介是来自2018年的百越杯。
将文件下载下来后,就一个flag_universe.pcapng文件,wireshark打开。
追踪tcp流,发现是FTP传输文件,传输的是一张图片。(心想难不成直接图片就显示了flag)
先尝试能不能导出文件,额,不行,试了一会发现,还是自己找数据吧。
会发现3、4、6、11、13、14处发现png图片的数据流以及7、8处的base64加密的假的flag值。
仔细观察发现4和11处的数据不完整,缺少png尾部。将其余4个都用winhex进行处理成png图片。(网上的wp就直接发现14有问题,自己菜,所以还是一个个来)
处理完成之后,我一般喜欢去binwalk+foremost,但是最近迷上了zsteg,以前没觉得,现在用起来,觉得很舒服。
直接zsteg处理,拿到flag。
0x02 base64÷4
这题简直就是,额,base16,另外就是文件下载下来一看也知道是base16。
base16解码就得到flag了。
0x03 wireshark-1
拿到一个数据包,说的是管理员密码就是flag。
所以直接wireshark追踪TCP流,拿到flag。
0x04 隐藏的信息
拿到的是一串数字
最开始还以为是直接转ascll码,结果发现不对,光第一个0126用126来换ascll码就是个“~”,看了半天,相到前面加个0,是不是代表换了进制的,于是就8进制转10进制,额,其过程我太菜了,就手动。得到以下内容:
86 50 86 115 98 67 66 107 98 50 53 108 73 81 111 75 73 69 90 115 89 87 99 54 73 69 108 84 81 48 78 55 84 106 66 102 77 71 53 108 88 50 78 104 98 108 57 122 100 68 66 119 88 51 107 119 100 88 48 75
转asll码,得到V2VsbCBkb25lIQoKIEZsYWc6IElTQ0N7TjBfMG5lX2Nhbl9zdDBwX3kwdX0K
拿去base64解码,得到以下内容:
Well done!
Flag: ISCC{N0_0ne_can_st0p_y0u}
0x05 a_good_idea
下载拿到一张图片,汤姆。不过我直接重命名后缀为zip,得到
选中的除外的两张图片加一个提示。提示为try to find the secret of pixels。
用stegsolve进行比较拿到上面图里的solved.bmp文件,打开放大看后,可以大致看到像二维码的情况,但是我不会ps,没办法,只能去看大佬的wp,嫖答案。
0x06 Aesop_secret
拿到一个gif,放到ps中,放大查看
发现不了什么有用的东西,就用记事本打开,看到最后的一点东西
U2F开头,AES解密,窃喜,拿去解密,额,解密失败。看了半天,不知道密码是啥,乱猜,这题是2019年ISCC的。先来2019,反正组合起来,发现ISCC行的通诶。
解密两次,密码都是ISCC,拿到flag。
就这样了,吃饭了。
0x07 something_in_image
本来不想接着这篇写的,但是想了一下,还是接着写吧,免得以后不好找。
这道题是2019湖湘杯的,在攻防世界里面是3星,感觉如果骚一点就至少需要20分钟,但是下载完后一看,这是啥,winhex打开前后都是0,我。。。。。。
大致翻了翻,还是有内容的,不过我对于这种一般都不想翻,也许是懒吧,于是就直接strings走起,额,直接找到flag。。。
0x08 黄金6年
这道题我在2019的嘶吼CTF做过,但是卡在了最后一张二维码上,真没有找到。很难受。
首先这道题是一个MP4,直接记事本或者notepad打开,可以看到最后有一串加密的密文,DES加密和base64试一试,直接base64解密,可以看到Rar的头,所以用winhex,将其弄成一个rar文件,打开看到flag.txt,但是需要密码。如果你想要暴力破解,也没有人拦到你。(其实我当时做的时候也是暴力破解过的,谁会喜欢去找密码嘛,暴力破解它不香嘛?)
对于MP4分帧,我用的PS版本太老了,老的程度我不想说了,听说现在的PS支持将MP4文件分钟,也是听说,我没有用过,不确定。所以我用的是ffmpeg分的帧。
直接在kali里面运行
ffmpeg -i 黄金6年.mp4 image-%5d.jpeg
额,316帧,在4个图片里面找到了二维码。
因为图片需要用ps处理一下,但是自己不会ps。不过只要拿到密码,解密即得flag。
0x09 Wireshark
题目说是简单的流量分析。但是我不管,按我的习惯来,先追踪流,再文件->导出对象->挨个试,在HTTP里导出了一堆东西,一个图片和一堆文件。
唯一的一张图片,看了一下,以为是图片隐写,就搞了一下,结果最后没啥收获。
换一下思路,看到%5c(2)和%5c(8)的大小,记事本打开,额,这16进制,不多说,winhex走起。
看了半天,看到了8950,额,我承认我对png图片有执念,试了试去除8950前面的数据,并保存为png图片,打不开。。。
又去找png的尾部426082,果然尾部有多余的东西。处理完之后,拿到两张图片。
第二张图片不是和之前的一样嘛?但是文件大小不一样,可能有东西,但是没啥思路。
找了下其他文件,用备案信息,找到了这道题里面涉及的网址:云图网络
但还是没看出什么名堂!!!
最后是看到钥匙的图片,想到改高,于是就试了试,找到了个key。
winhex改高。
有key就可以考虑图片解密。解密网址