点进题目中确实是一张单纯的图片233333
嗯,直接用winhex打开看看
在最后发现了一段编码,用Unicode解密看看。
flag出现了:key{you are right}
解压之后是一张照片,
直接用winhex打开看看,发先是头89 50 4E 47 PE头是PNG照片的,然后用工具TweakPng修改图片的高度。
将下载好的压缩包先解压,文件中有个pcap后缀的文件,用wireshark打开,根据提示,找到Telnet然后追踪TCP流,
提前参考一下(winhex常见的文件头)
255044 PDF
526563 EML
D0CF11 PPT
4D5AEE COM
E93B03 COM
4D5A90 EXE
424D3E BMP
49492A TIF
384250 PSD
C5D0D3 EPS
0A0501 PCS
89504E PNG
060500 RAW
000002 TGA
60EA27 ARJ
526172 RAR
504B03 ZIP
495363 CAB
1F9D8C Z
524946 WAV
435753 SWF
3026B2 WMV
3026B2 WMA
2E524D RM
00000F MOV
000077 MOV
000001 MPA
FFFB50 MP3
234558 m3u
3C2144 HTM
FFFE3C XSL
3C3F78 XML
3C3F78 MSC
4C0000 LNK
495453 CHM
805343 scm
D0CF11 XLS
31BE00 WRI
00FFFF MDF
4D4544 MDS
5B436C CCD
00FFFF IMG
FFFFFF SUB
17A150 PCB
2A5052 ECO
526563 PPC
000100 DDB
42494C LDB
2A7665 SCH
2A2420 LIB
434841 FNT
7B5C72 RTF
7B5072 GTD
234445 PRG
000007 PJT
202020 BAS
000002 TAG
4D5A90 dll
4D5A90 OCX
4D5A50 DPL
3F5F03 HLP
4D5A90 OLB
4D5A90 IMM
4D5A90 IME
3F5F03 LHP
C22020 NLS
5B5769 CPX
4D5A16 DRV
5B4144 PBK
24536F PLL
4E4553 NES
87F53E GBC
00FFFF SMD
584245 XBE
005001 XMV
000100 TTF
484802 PDG
000100 TST
414331 dwg
D0CF11 max
另外还有一些重要的文件,没有固定的文件头,如下:
TXT 没固定文件头定义
TMP 没固定文件头定义
INI 没固定文件头定义
BIN 没固定文件头定义
DBF 没固定文件头定义
C 没没固定文件头定义
CPP 没固定文件头定义
H 没固定文件头定义
BAT 没固定文件头定义
还有一些不同的文件有相同的文件头,最典型的就是下面:
4D5A90 EXE
4D5A90 dll
4D5A90 OCX
4D5A90 OLB
4D5A90 IMM
4D5A90 IME
下载了文件,然后用winhex打开
看文件头发现是zip格式,然后把后缀改了(改成zip)然后解压,里面有个“眼见非实.doxc”的文件,打开是乱码,再用winhex打开看看,
还是zip的格式,接着改就好,改完之后会有个“眼见为实的文件夹”打开之后就开始漫长的寻找之路,最终在word文件中的document.xml找到了flag。
flag{F1@g}
其实根据这张图片和提示就可也做出来了,实在不放心就百度一下就好,看看是那个大明星2333
key{liuyifei}
下载下来是一张照片,直接binwalk查看一下,
然后分离
flag.rar打不开有密码,直接暴力破解(这里的flag.rar我是在Windows中解压的,在虚拟机kail中我没有打开不知道为什么)
解压完有事一张照片,
用记事本打开,在最后可以发现flag。
f1@g{eTB1IEFyZSBhIGhAY2tlciE=}
提交的时候发现出错,根据内容可以发现是base64解密,直接解密。
flag{y0u Are a h@cker!} (提交的时候注意不能用汉语输入法,这里不知道为什么会出错)
下载解压,是一个KEY.exe但是怎么也打不开(windows10会自动不让运行)所以就用Notepad++打开发现是一串base64编码,题目有提示会得到一张二维码,所也直接就base64转图片。
base64编码转图片:http://www.vgot.net/test/image2base64.php?
然后在线识别二维码,https://cli.im/deqr/
KEY{dca57f966e4e4e31fd5b15417da63269}
下载了压缩包放到kali中进行解压,
解压:tar -zxvf 文件名.tar.gz
9.隐写3
下载之后发现这图片看着很怪啊,长度明显不够啊!
还是用工具Tweakpng工具改一下高度看看。
10.做个游戏(08067CTF)
放到jd-gui中得到java源码,慢慢的审代码,就会发现。
不过flag是base64加密过得,需要解密就能得到。
flag{DajiDali_JinwanChiji}
下载完,什么也没有发现,
那就根据提示,看看用记事本打开看看有没有发现,Ctrl+F查找一下
嗯,直接就找出来了。
KEY{24f3627a86fc740a7f36ee2c7a1c124a}
下载后,解压,发现是一张图片,还是老的套路,binwalk跑一下,
接着分离
分离之后有一个压缩包但是有密码打不开,这下有些懵逼了什么提示也没有,就给了一张图片,那就从图片下手,查看属性,嗯,可以找到我们需要的东西
TVNEUzQ1NkFTRDEyM3p6 base64解密,刚好分离出来的压缩包里面的图片需要密码,
解密后:MSDS456ASD123zz
图片有点熟悉,看着有些短了,应该有是被改了,图片是PNG,用工具Tweakpng看看。
BUGKU{a1e5aSA}
这题真的是有些难了,参照了大佬们的博客才能够完整写出来。
有是一张图片,老操作直接binwalk跑一下,
然后发现有个压缩包,解压发现我懵逼了,,,,
就一张图片,打开什么也没有发现,百度一波,原来是这样啊,这是厉害了。
88,88,8888都改成*.jpg的格式。
88.jpg
扫出来是bilibili
888.jpg查看属性的详细信息,发现信息,老司机一看就知道是base64解密,
silisili
8888.jpg图片什么也没有发现,在用binwalk跑一下,
分离出来有个压缩包,解压打开是一张二维码,扫一下就好了,然后把所有的连起来就好了。
flag{bilibili_silisili_panama}
14.妹子的陌陌
然后foremost分离一下,
分离出来了一个rar的压缩包,但是有密码,做到这里突然要密码不是坑吗?有仔细的想了一下刚才的图片,应该有提示。
试了一下,成功了,23333
根据提示进行一步一步的解密,
..../-/-/.--./---.../-..-./-..-././-./-.-./---/-.././.-.-.-/-.-./..../.-/..../..-/---/.-.-.-/-.-./---/--/-..-.
整理一下:HTTP://ENCODE.CHAHUO.COM
整理过后发现是一个网址,访问一下,
内容:http://c.bugku.com/U2FsdGVkX18tl8Yi7FaGiv6jK1SBxKD30eYb52onYe0=
AES Key:@#@#¥%……¥¥%%……&¥
momoj2j.png
构造:http://c.bugku.com/momoj2j.png
访问:
拿到一张二维码图片:
但是黑白反相了,用Stegsolve工具去反色就好了。