CTF杂项经验

1.拿到文件，用winhex和ue打开，查看文件头和文件尾，识别文件类型,有时在文件头和尾也藏有信息
2.文件内包含文件，用kali中binwalk进行分离 binwalk +file 通过扫描能够发现目标文件中包含的所有可识别的文件类型。
binwalk +file -e
有时候binwalk无法正确分离出文件，这时候就可以使用foremost，将目标文件复制到kali中，在终端中使用命令行进入文件所在文件夹，使用如下命令：
Foremost+file –o 输出目录名。
如果formost分离不了，就用dd进行分离， windows可以用010Editor进行手动分离，选取二进制数据，右键，保存选择 在记事本中另存为

3.zip伪加密
伪加密就是在对应的加密标志位做修改，进而再打开文件时识被别为加密压缩包。上面在讲到文件格式的时候，提到RAR文件块的HEAD_FLAGS和ZIP的核心目录区的通用位标记，这两个就是伪加密的切入点。当拿到文件时，如果压缩文件是加密的，或文件头正常但缺无法正常解压，可先考虑是否为伪加密。通过将标志位修改为0便可解密压缩包。
搜索504B0102.将所有文件头的第9位和第10位改为0，或者在kali中解压

4.二维码问题 重点在于定位图形的位置与清晰 https://www.cnblogs.com/magicsoar/p/4483032.html
使用ppt 进行二维码的拼接

5.文件打不开问题，若无包含文件，就看文件头是否损坏，进行手工修复 moectf 送分

6.当有PNG文件时，要考虑png中的LSB隐写 python lsb.by extract xxx.png 1.txt 解密密码 python lsb.py extract big.png-stego.png 3.txt 123456 extract：表示解密模式 big.png-stego.png：待解密的png图片 3.txt：存放导出的payload 123456：解密密码 moectf lsb
2）一张PNG，一个ZIP压缩包，猜测是LSB，StegSolve下打开PNG，BGR 3原色设置为0 提取LSB，发现藏着一个PNG（要把前面无效的删掉），导出。 moctf是兄弟就来干我
3） 给坐标信息 ，生成图片 用py

7. 1)修改图片高度 有些图片故意缩小了高度，隐藏了图片上的内容 修改图片的高度用winhex png：开头：89504E47 字母：PNG 数据：IHDR 结尾： 00 00 00 00 49 45 4E 44 AE 42 60 82 结尾：IEND
   2)gif动图 发现是一个gif图片。闪过有flag。 用stegsolve打开使用Frame Browser可得flag
   3）二维码黑白颠倒 用stegsolve打开 用异或
   8.zip明文攻击，用到pkcrack题目链接：http://pan.baidu.com/s/1o8gCCm2 密码：n87s命令：./pkcrack -c “readme.txt” -p readme.txt -C Desktop.zip -P readme.zip -d decode.zip 要把readme.txt先压缩成zip Desktop.zip是要解压缩的文件
   windows下 使用ARCHPR程序进行明文攻击，先将已有文件进行压缩（注意压缩软件的版本不要太高，否则不成功）然后明文攻击，恢复成解密文件。
   2）zip已知密码前几位，用掩码破解 用ARCHPR和ziperello软件

9.打开文件发现是图片，再用winhex打开，搜索发现504B，改后缀为zip,解压出pdf,发现有图片，但是显示不完全，用工具转为word,打开发现被遮挡，word修改遮挡图片的宽度，让flag露出来 moectf 我们都爱珂朵莉 pdf网址 http://smallpdf.com