misc部分题解

GIF分解

misc第一题，misc就是要注重积累，每天一题大有益处，这题就给了个gif
我的misc也没什么基础，misc也就是工具的积累，这里先看看，GIF中明显有flag的部分依次闪过，需要分帧查看的工具，先来个朴素的，ps打开，图层界面就可以看到帧数,分页查看拼接即可，还有一个工具stegsolve，以后应该还会用到它,点击这个地方也可以逐帧查看，前面的有点简单了

二维码识别

题目就给了个二维码，二维码识别软件尽量用在线的，离线的都不是什么好东西

说明就在这个文件里面有flag，直接进行binwalk，binwalk主要用法见这篇博客
总结为以下几条

binwalk+文件名 //签名扫描，也就是列出其中文件类型
binwalk -e 文件名 //文件提取，binwalk提取其在固件映像中找到的所有文件，刚开始不会用就直接无脑-e即可
binwalk -D, --dd= //其中type是签名描述中包含的小写字符串（支持正则表达式、ext是保存数据磁盘时使用的文件扩展名（默认为none、cmd是在将数据保存到磁盘后执行的可选命令

初学先不管，-e就行啦

解压出来这么个文件，文本文档里面什么都没有，但是压缩包里面的文档要密码

这里应该也提示的很清楚了，4位数字，那就直接爆破就行了，0.01s就能爆破出来，这点量对于我的5800H来说简直小菜

解压拿到flag

这里交的时候把外面的CTF记得换成flag

那么本期就是四个工具：stegsolve和ps,用来分解GIF的，binwalk分解固件识别的，ziperello用来爆破压缩包密码的

N种方法解决

打开获得一个exe文件，无法运行，看来是有问题的，直接十六进制编辑器打开看看

可以看到是图片格式

这里是base64图片格式，需要使用工具进行转换

出来一个二维码

解码flag就出来了，这里面用到了base64图片编码的转换

你竟然赶我走

打开，无辜的表情

先用这个看看

好像也没什么问题，但是这个右下角文件结尾的地方好像有说明不对，去查看文件格式

果然有问题，flag就这么出了

都是比较简单的题了，掌握一下基本方法

大白

提示到位了，是图太小了

确实只有一半，使用010editor打开看一看，注意这个软件有个功能就是不同文件的模板，打开时没有会提示下载，下载了之后如下所示

可以直接看到对应区段的功能，这里看到图片的高度不够，那就加长一点吧，直接在下面改就行

保存再打开图片，flag就出来了

基础破解

这就没什么意思了吧，用上篇文章提到的工具，或者换一个也行ARCHPR

破解出来，输入2563密码，拿到flag

哦对，还有个base64解密

乌镇峰会种图

下载下来是个图片，先stegsolve看一下，这就跟web看源码一样

又是文件尾的flag，这就没意思了噢

LSB

一看到这个题目就笑了，LSB隐写课堂作业才写过，当时还有个dct来着，这个还是比较简单的那个隐写，具体原理可以自行百度，又是stegsolve派上用场的时候了
打开看最低位

明显有信息，可以进一步查看，发现是red、blue、green的最低位有隐藏信息



打开这个，直接看最低位，可以看到是个png图片，保存成图片格式

得到一个二维码

再进行解析，解码flag即出

注意buuctf交的时候要换一个大括号外面的内容，换成flag{}

文件中的秘密

解压下来一张图片，先stegsolve看看基本信息,未发现异常

随后使用010editor打开，看有没有别的文件格式，发现无异常，就直接搜索flag字符串的十六进制码66006C0061006700，看看flag字符串有没有隐藏在里面

发现flag就在这里，网上看还有人直接看图片备注

当然也行咯，但不是通用方法

wireshark

解压之后是一个网络包格式，直接wireshark打开，按照题目要求直接搜索http协议post包，因为密码只有post包才能发出来，不可能通过get明文传输

找到flag

rar

这个题方法都告诉了，直接爆破就行了

老样子，直接爆破解压即可

qr

打开是个二维码

？？？逗我玩呢

今天这两题都特别nt，明天蓄力做个难的web，前面的都是一分，要是难的还得做个四五十分的啊，明天整一波

zip伪加密

打开又是个加密的zip，但是这回没有任何的提示，那就应该是从这里的原理入手，zip伪加密似乎是一个知识点，我们先看看zip文件的数据格式

一个 ZIP 文件由三个部分组成：        

        压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志

    1、压缩源文件数据区

    在这个数据区中每一个压缩的源文件/目录都是一条记录，记录的格式如下：    

       [文件头+ 文件数据 + 数据描述符]
 
       a、文件头结构

         组成    　                长度
      文件头标记                  4 bytes  (0x04034b50)
      解压文件所需 pkware 版本    2 bytes
      全局方式位标记              2 bytes
  　　压缩方式                    2 bytes
  　　最后修改文件时间             2 bytes
 　　 最后修改文件日期             2 bytes
 　　 CRC-32校验                  4 bytes
 　 　压缩后尺寸                  4 bytes
 　 　未压缩尺寸                  4 bytes
 　　 文件名长度                  2 bytes

      扩展记录长度                2 bytes
 　　 文件名                     （不定长度）
 　　 扩展字段                   （不定长度）

        b、文件数据
        
        c、数据描述符

 　　　组成    　长度
  　　CRC-32校验                  4 bytes
  　　压缩后尺寸                   4 bytes
 　 　未压缩尺寸                   4 bytes

      这个数据描述符只在全局方式位标记的第３位设为１时才存在（见后详解），紧接在压缩数据的最后一个字节后。这个数据描述符只用在不能对输出的 ZIP 文件进行检索时使用。例如：在一个不能检索的驱动器（如：磁带机上）上的 ZIP 文件中。如果是磁盘上的ZIP文件一般没有这个数据描述符。

     2、压缩源文件目录区

     在这个数据区中每一条纪录对应在压缩源文件数据区中的一条数据

   　　　组成               　            长度
    　　目录中文件文件头标记             4 bytes  (0x02014b50)
    　　压缩使用的　pkware 版本          2 bytes
    　　解压文件所需 pkware 版本         2 bytes
    　　全局方式位标记                   2 bytes
    　　压缩方式                        2 bytes
    　　最后修改文件时间                 2 bytes
    　　最后修改文件日期                 2 bytes
    　　ＣＲＣ－３２校验                 4 bytes
    　　压缩后尺寸                      4 bytes
    　　未压缩尺寸                      4 bytes
    　　文件名长度                      2 bytes
    　　扩展字段长度                    2 bytes
    　　文件注释长度                    2 bytes
    　　磁盘开始号                      2 bytes
    　　内部文件属性                    2 bytes
    　　外部文件属性                    4 bytes
        局部头部偏移量                  4 bytes
    　　文件名                       （不定长度）
    　　扩展字段                     （不定长度）
        文件注释                     （不定长度）

    3、压缩源文件目录结束标志
    　　　组成               　          长度
        目录结束标记                    4 bytes  (0x02014b50)
        当前磁盘编号                    2 bytes
        目录区开始磁盘编号              2 bytes
    　　本磁盘上纪录总数                 2 bytes
    　　目录区中纪录总数                 2 bytes
    　　目录区尺寸大小                   4 bytes
    　　目录区对第一张磁盘的偏移量        4 bytes
    　　ZIP 文件注释长度                 2 bytes

    　　ZIP 文件注释                   （不定长度）

着重看三点，压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志，其中前两个有加密标识，通过上面的结构可以看出，是在下图这两个位置，一个是数据区加密的标志，一个是目录区的加密标志

通过模板下的结构体名称也能很容易看出

zip伪加密是在文件头的加密标志位做修改，进而再打开文件时识被别为加密压缩包。但实际是没有密码的，所以使用任何密码都破解不了。
而且当压缩源文件目录区的全局方位标记为0900(表示为加密)，并且压缩文件数据区的全局方式位标记为0900同样则会被识别为加密，但是文件并没有真正的加密，也就是所说的伪加密。我们通过修改这两个标志位为0000，然后保存解压即可拿到flag

被嗅探的流量

这题又是流量分析题，先看文件
又是一大堆流量包

不过这种题默认就是只看应用层网络包，其它的应该没什么信息

看到这里明显有个文件，打开看看

就在这里

ningen

这个题看着还比较有意思，先科普一下这种生物

很有趣吧，直接使用stegsolve打开，看到文件尾有些不寻常的东西

这不就是我们上个题zip伪加密里面刚刚学习的zip格式嘛，提取出来看看，使用老工具人binwalk看看

出来一个压缩包，结合提示，使用zipherello，在破解zip上比ARCHPR稍快

解压即可得到flag

镜子里面的世界

一个有趣的图片

打开老朋友，发现三个通道为0的时候明显反常

这显然又是lsb隐写，直接打开dataexact

flag就在里面flag{st3g0_saurus_wr3cks}