几个MISC隐写题的writeup

1.  相机

因为是简单题，所以直接winhex或notepad++打开查找flag

Flag{iPhone}

2.  神器

仔细看看他指的是哪

根据题目提示可用stegsolve查看是否隐藏二维码

Flag{douniwan}

3.  好孩子

好孩子是看不见的

根据题目提示可能隐藏着其他文件，用binwalk

果然不出所料，隐写着一个压缩包

再用foremost分离

得Flag{NJY7UbLrKFSDZLCY}

4.  为什么打不开呢？伤心QAQ

题目所用文件

解压出的exe文件无法打开，接着把解压出的exe文件用binwalk分析，结果什么都没有，说明此文件可能只是包含了一些数据或缺少头部文件信息，所以用winhex打开分析，发现为图片的base64的图片编码，在网站解码得到二维码，扫码即得KEY{dca57f966e4e4e31fd5b15417da63269}

5.  小苹果

老套路先binwalk,果然发现有压缩包，foremost分离出来，结果真的是一首小苹果.MP3，在对此文件binwalk，并没有什么发现，感觉被刷了。然后再观察图片，扫描二维码得到

\u7f8a\u7531\u5927\u4e95\u592b\u5927\u4eba\u738b\u4e2d\u5de5

Unicode解码得  羊由大井夫大人王中工

最终得到CTF{9158753624}

6.  号外号外

题目6所用文件

得到一没有后缀名的文件，binwalk未发现什么。再用winhex打开，发现编码很奇怪，

89504E47是GIF图片格式的头部信息，也就是说它把ASC码与十六进制数给颠倒了，于是用winhex新建文件，把之前得ASC码复制到十六进制的地方，保存得到一张二维码.Gif

扫描得

号外！号外！山东省大学生信息安全知识大赛开始了！！！！

AAB aaaaa aaa ABB baaa aaa ABBB bbaaa aaa BB bbbbb

一开始认为是培根密码，每五个字母一组，结果前面两个b开头根本没有对应的。然后就跟摩斯密码比较像了，把a和b与.和-相对应，得到flag{G0ODJOB2OI5}

7.  要不是binwalk差点当web了

题目7所用文件

根据题目提示直接binwalk，发现有压缩包，foremost分离压缩包，结果打不开，题目并无暗示密码让你猜的意图，并且题目所给的web文件是可以用wireshark打开的，打开之，可用wires hark自带的工具搜索关键字pass，不出所料

打开压缩包，得KEY{ae73e96ab858095eaf1228b1499f8c33}

8.  压缩包的爆破

题目8所用文件

根据注释提示，可知密码为六位纯数字，选择Advanced Archive Password Recovery工具进行爆破，打开word

是一首诗，并没有flag，把此文件放入binwalk分析，发现为zip文件，改后缀名之。

在document.xml文件中找到

Flag{oRuesP57WAaGhBJk}

9.   gakki

先binwalk分析，很单纯的一张图片。再观察，她的手指指向上，所以猜测可能要修改图片的高度。

PNG文件头知识：

（固定）八个字节89 50 4E 47 0D 0A 1A 0A为png的文件头

- （固定）四个字节00 00 00

0D（即为十进制的13）代表数据块的长度为13

- （固定）四个字节49 48 44

52（即为ASCII码的IHDR）是文件头数据块的标示（IDCH）

- （可变）13位数据块（IHDR)

    -前四个字节代表该图片的宽

    -后四个字节代表该图片的高

    -后五个字节依次为：

    Bit depth、ColorType、Compression method、Filter method、Interlace method

- （可变）剩余四字节为该png的CRC检验码，由从IDCH到IHDR的十七位字节进行crc计算得到。

改之得

10.  磁盘镜像

题目10所用文件

Binwalk加foremost分离

11.  Do you know wireshark?

题目11所用文件

根据目提示，猜测压缩包可能为伪加密。用winhex打开，在ASC一栏中，找到第二个PK，即50 4B 05 06 XX XX XX XX 01 00（XX为未知数），把01改为00即可。（改为02或04也可以，是偶数就行，如果是基数就为加密）。

再用wires hark打开，跟踪TCP流，找到

flag{d316759c281bf925d600be698a4973d5}

12.  黑客留下的机密信息

题目12所用文件

根据题目提示，用http.request.method=="POST"过滤数据包，

发现往shell.php发送的信息最多，逐个分析

用base64解码找到flag{Inf0rm4ti0n53curity}

若对你有帮助，鄙人荣幸之至。