初入CTF——MISC

图中有图

Challenge Description:
眼见就一定为真吗？真的只有一张图？

1.jpeg

第一次下载下来，我试了下后缀名改成zip（此前不知道有binwalk。。。也不知道有winhex。。。）
发现打不开呜呜~
有了winhex后
woc这tm是啥？

2.png

了解了文件头之后~
发现FFD9在中间，并且后面是gif的头，直接alt+2，编辑删除，另存为新图片。

3.gif

最傻逼的是，我不知道怎么分割gif（当然现在也不知道），我就靠着自己的火眼金睛（taihejingouyan）含笑（lei）写下了flag~

用眼睛听

Challenge Description:
用眼睛怎么听呢，flag格式为NYSEC{得到的flag}
下载下来，发现是wav音频文件，拉进Audacity。（假装知道它怎么用~）
而后。。。一脸懵逼（这特么也不像摩斯密码呀）

4.png

直到某个夜深人静的夜晚，发现：

5.png

试着点击一下？

6.png

woc?wqnm!!

zip伪加密

下载下来，发现木有后缀名：

7.png

那改个txt试试？

8.png

拉到最下面试试，发现有个flag.jpg，好，改了jpg但是打不开，于是照着提示，改zip，用7zip打开，没密码~（这点当时给忽略了，其实这题最主要的就是这部分——压缩包密码，下文写）

flag.jpg

我们拉WinHex,搜索字符串flag:

9.png

---

看下本来该出现什么问题？
我们用默认的压缩工具打开，发现是有密码的：

image.png

这就涉及到题中所说，伪加密的问题。
搬一下网上的bolg：

一个 ZIP 文件由三个部分组成：
压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志

10.png

11.png

识别真假加密

无加密

压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为00 00

假加密

压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为09 00

真加密

压缩源文件数据区的全局加密应当为09 00
且压缩源文件目录区的全局方式位标记应当为09 00

12.png

---

回归本题，
Zip拉入WinHex，搜索504B：

13.png

出现了！0900！

14.png

接下来工作可想而知，改0，存到新文件，ok，没密码啦，剩下的和上文一样操作就好~