这魔性的掀桌。。。。
题目只给出了这样一串字符,
d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1e6b3e3b9e4b3b7b7e2b6b1e4b2b6b9e2b1b1b3b3b7e6b3b3b0e3b9b3b5e6fd
字符串中只有[0-9][A-F],很容易想到是十六进制。而十六进制这时就应该想到ASCII编码了,而且字符串的长度为134,所以应该是俩个字符为一组。这时写出脚本将他们分离。`
s = "d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1e6b3e3b9e4b3b7b7e2b6b1e4b2b6b9e2b1b1b3b3b7e6b3b3b0e3b9b3b5e6fd"
a = ""
for i in range(0,len(s),2):
a = a+"0x"
a += s[i:i+2]
a += ","
print(a)
================= RESTART: C:\Users\Prowes5\Desktop\掀桌\wp.py =================
0xd4,0xe8,0xe1,0xf4,0xa0,0xf7,0xe1,0xf3,0xa0,0xe6,0xe1,0xf3,0xf4,0xa1,0xa0,0xd4,0xe8,0xe5,0xa0,0xe6,0xec,0xe1,0xe7,0xa0,0xe9,0xf3,0xba,0xa0,0xc4,0xc4,0xc3,0xd4,0xc6,0xfb,0xb9,0xe1,0xe6,0xb3,0xe3,0xb9,0xe4,0xb3,0xb7,0xb7,0xe2,0xb6,0xb1,0xe4,0xb2,0xb6,0xb9,0xe2,0xb1,0xb1,0xb3,0xb3,0xb7,0xe6,0xb3,0xb3,0xb0,0xe3,0xb9,0xb3,0xb5,0xe6,0xfd,
但是这时出现了一个问题,ASCII码的范围是0-127,但显然每一组字符串形成的数字都已经超过了127,这时我们就想到了移位,写出脚本爆破,即可得到flag。
s = [0xd4,0xe8,0xe1,0xf4,0xa0,0xf7,0xe1,0xf3,0xa0,0xe6,0xe1,0xf3,0xf4,0xa1,0xa0,0xd4,0xe8,0xe5,0xa0,0xe6,0xec,0xe1,0xe7,0xa0,0xe9,0xf3,0xba,0xa0,0xc4,0xc4,0xc3,0xd4,0xc6,0xfb,0xb9,0xe1,0xe6,0xb3,0xe3,0xb9,0xe4,0xb3,0xb7,0xb7,0xe2,0xb6,0xb1,0xe4,0xb2,0xb6,0xb9,0xe2,0xb1,0xb1,0xb3,0xb3,0xb7,0xe6,0xb3,0xb3,0xb0,0xe3,0xb9,0xb3,0xb5,0xe6,0xfd]
for i in range(160):
flag=''
for j in range(len(s)):
flag+=chr(s[j]-i)
print(flag)
题目只给出了一张Windows桌面的照片,还有一串感觉没什么用的汉字。第一步先看看图片吧。
上面俩张图片可以得到俩个信息,一,这张图片很大,可能不只是一张照片这么简单。二,标题和备注那个那俩串字符可能是有用的信息。接下来,把图片扔到kali里,用binwalk分析一下。
可以看出,图片里面确实藏了一个zip的压缩包。用foremost把它分离出来。
发现压缩包是有密码的,这时我们想到上边图片备注和标题的字符串,尝试一下,发现备注中的字符串就是压缩包的密码。
打开file.txt。WTF!!!这密密麻麻的啥玩意儿。仔细想想也不是一种编码,这时我们回到题目上看下提示。
题目说了频次是非常重要的,那好,我们统计一下file.txt文件中各个字符出现的次数。
from collections import Counter
f = open("file.txt")
txt = f.read()
c = Counter()
for i in txt:
c[i] = c[i]+1
print(c)
================= RESTART: C:\Users\Prowes5\Desktop\four.py =================
Counter({‘D’: 3950, ‘C’: 1900, ‘T’: 1850, ‘F’: 1800, ‘{‘: 1750, ‘k’: 1700, ‘a’: 1650, ‘1’: 1600, ‘f’: 1550, ‘4’: 1500, ‘N’: 1450, ‘g’: 1400, ‘x’: 1350, ‘I’: 1300, ‘n’: 1250, ‘t’: 1200, ‘A’: 1150, ‘i’: 1100, ‘}’: 1050})
按照出现频次由多到少整理之后应该是这样的。这时也就得到flag
题目给出了一个pcap包。用wireshark打开它,分析之后发现用FTP传输了俩个zip压缩包,Fl-g.zip和sqlmap.zip。导出发现是俩个加密的压缩包。不是伪加密,也没有什么有用的信息,我们先把它放到一边。
再往下分析,发现了这个。
是用base64加密过的一张图片。
这时我们将解密结果用16进制显示出来。
将前面的\x去掉放到winhex里
保存即得到这张图片。
这里就比较坑了。。。。用图片识别之后再比对一下吧,要注意0和大写O,小写l和1的问题。一开始我以为这是个base64,解密之后发现并不是。这时想到题目内容上提示的秘钥格式。还有就是,我找到了这样一封邮件。
并且最后一个TCP流里有TLS,这时我们就应该想到SSL了。将秘钥导入后,发现多出来了HTTP。追踪http流,得到flag。
最后这道题目的干扰信息太多,导致我前期一直在想怎么解出来那俩个压缩包。还有各种杂七杂八的邮件,也是让人很无语,还充斥着各种广告。。。
总结一下这次的CTF,虽说闯关模式的CTF会降低一部分难度,但如果卡在一道题上,后面的题目就别谈什么做了,看都看不到。作为一个正在学习的逆向狗,被卡到第一题也是很难受了,没办法。只能回头做Misc了。