ctf新人刷题笔记

muxue111

题目来自攻防世界MISC
本笔记用于总结思路以及复习不会的知识点
1.Banmabanma
下载附件后得到一张图片，观察可得斑马花纹类似条码，通过ps剪辑可得条码，使用在线工具扫描条码即可获得flag。
2.适合作为桌面
下载解压后得到png的图片，直接丢到stegsolve（注意预装java环境），通过工具可得二维码得到一串编码，在不知道是什么编码的情况下应尝试最基础的编码比如ASCII，在winhex中新建文件并转换为ACSII格式，划到最底端发现有py格式，得知是pyc文件后，将转换后的文件保存为pyc格式后用python反编译在线工具打开，得到关于flag的python代码，编译运行可得flag。
3.心仪的公司
下载解压之后发现是pcapng格式，网上搜索发现pcapng格式的文件可通过wireshark打开，打开之后通过下载附件名称webshell可得通过搜索http contains"webshell",找到后，看到有类似flag的fl4g，尝试提交后成功。第二个方法是在winhex中搜索flag，f1ag，fl4g,可直接得到flag。
4。pure-color
下载解压后发现是一张图片，丢进stegsolve中可直接得出flag，我的第一感觉是图片长度有问题，打开winhex中修改了图片长度并没有收获，于是抱着尝试的心态放进stegsolve结果成功了。
5.Dating-in-Singapor
下载打开发现是附件是pdf日历，同时注意到题目描述给了很长的数字并用分割线隔开，把题目描述放进记事本，用分割线隔开的换行隔开，观察正好有12格，与月份相似，思考是否能把数字放到pdf的月份中去，把每个月份的数字在pdf中标出来，发现可以组成文字，于是得到flag。
DAY2
1.simple_transfer
下载解压后发现是pcap文件，通过网络查询可得pcap文件可用wireshark打开，打开后用字串查询flag，发现有相关字符，主要是TCP协议，使用wireshark的追踪流，发现有.file.pdf字符，猜想可能是在文件中藏了文件，打开kali中的binwalk，发现有zip文件，分开文件后解压即可得到flag。
2.Training-Stegano-1

下载解压后发现是bmp图片，笔者先尝试将其丢入stegslove中打开，并未发现线索，用winhex打开后，发现英文 Look whatt the hexedit revealed:passwd:stegano,尝试提交flag{stegano}失败，又尝试stegano，成功。
3.can_has_stdio?
下载之后发现不知道是什么文件，用winhex打开后，发现一串不明意义的字符，查询资料发现是brainfuck字符，用在线解码工具解码即可获得flag。
4.Erik-Baleog-and-Olaf
下载解压后发现是无后缀文件，使用winhex打开后发现16进制编码为89 50 41E 47 0D 0A LA 0A 00,是典型的png图片格式，仔细观察右边也有PNG的提示（但是笔者粗心大意未注意到），修改后缀后用setgsolve打开，发现有隐藏的二维码，但是有缺失部分，扫不出来，于是继续翻找，可在找到缺失的部分，通过ps手段还原二维码，扫描即可得到flag。
5.János-the-Ripper
下载解压后发现是一个无后缀文件，放进winhex中发现有flag.txt字符，猜测里面有隐藏的文件，利用binwalk工具分离，解压时发现居然需要密码，使用ARCHPR工具 暴力破解，发现密码是fish，解压后得到flag
Day3
1.Test-flag-please-ignore
下载打开后发现是一个十六进制字符串，转ascII可得flag
2.misc_pic_again
下载发现是一张图片，照例丢进stegsolve没有找到隐藏的东西，查询资料发现在LSB隐写技术中，秘密信息被嵌入到图像、音频等文件载体的最低有效位中，stegsolve的data extract功能可以分析图片的LSB first，看到开头是pk，于是用zip格式保存文件，解压打开发现没有后缀，用winhex打开，照常搜字符串flag，fl4g，f14g没有发现，又搜索ctf找到flag
3.reserve me
下载打开后发现flag就在图片里，反转图片得到flag
4.nomal_png
下载解压后发现是一张图片，丢stegsolve没得到有效信息，放进winhex中常规搜索字符串也没有发现，猜测是不是png图片高度问题，更改高度后发现flag
5.Aesop_secret
打开后发现是一张动图，用逐帧分离工具，拼接工具得到ISCC四个字符，目前未知用处，用记事本打开gif，发现前面是乱码，后面有一串可疑字符，查找资料得知可能是AES编码，用工具解密AES编码，尝试密钥ISCC，得到一串字符，在解密一次，得到flag
Day4
1.hong
下载打开附件后发现是MP3文件，尝试用软件打开显示文件损坏，打开kaliLinux用foremost命令打开hong.mp3，拆分后用图形化界面打开发现一个二维码和带有flag，得到flag
2.hit_the_core
下载附件后发现是core文件，不知怎么打开，查找百度后发现core是一种报错后生产的说明文件，可用linux打开，于是用strings命令打开后发现一串很像flag的字符串，cvqAeqacLtqazEigwiXobxrCrtuiTzahfFreqc{bnjrKwgk83kgd43j85ePgb_e_rwqr7fvbmHjklo3tews_hmkogooyf0vbnk0ii87Drfgh_n kiwutfb0ghk9ro987k5tfb_hjiouo087ptfcv}，观察发现大写字母前几个为ALEXCTF，通过编写python脚本得到大写字母ALEXCTF{K33P_7H3_g00D_w0rk_up}，即为flag。
Day5
1.m0_01
下载附件解压后发现是pcapng文件，用wireshark打开发现Leftover Capture Data为8字节，猜测是键盘流量分析，若是4字节则为鼠标流量分析，把流量包放到Linux中，使用tshark -r 12.pcapng -T fields -e usb.capdata>1.txt抓取流量数据到txt文件中，使用py脚本还原键盘数据，得到884080810882108108821042084010421，为云影密码，解密得到flag
2.津门杯2021_01
下载附件解压后发现是一张好看的妹子图片，用winhex，010edictor，stegsolve初步排查没有发现，用stegsolve的分析功能的LSB信息中发现了一串可疑编码ZmxhZ3ts NURHcUYx
6346423654324979 544655354d546c4d  cFB6T2Iy TFU5MTlM
5457464357564d31 516a46484d444647  TWFCWVM1 QjFHMDFG
把数字和空格删除保留字母，发现是base64编码，通过base64解密可得flag
Day6
1.running
下载附件后发现是exe文件，看图标好像有点奇怪，打开后是word文档显示ERROR！！，尝试改后缀为doc或者docx，都显示打不开。没招使用kali的foremost分离出压缩包，解压后发现又得到run.exe文件，放到window环境下运行，发现生成了tif，于是改后缀为run.tif,但是在win环境下打不开，于是回到kalilinux中打开run。exe文件，在2052文件夹中找到一张图片有一块黑图层好像挡住了什么东西，放到ps删除图层，得到flag的计算公式，但是还缺少密文，用winhex打开，末尾有可疑字符，放入公式中可得flag
2.流量分析
下载附件后发现是pcapng文件，用wireshark打开，字符串搜索flag，找到关键词，追踪http流，在首段url中看到flag，用url解密两次得到SQL语句，看到目标正在进行布尔盲注，在3
s后停止，于是搜索http.time<=3,得到一串数据，追踪http流然后解密url，得到一连串sql语句，观察猜解得每个语句后的数字的ASCII值对应的字母即可得到flag。
Day7
1.misc2-1
下载附件后发现是jpg文件，尝试打开未成功，放大linuxforemost一下没有找到隐藏文件，于是打开010editor查看编码，发现jpg头部不对，但是不知道怎么改，继续细看编码，发现图片的十六进制编码有一部分被倒转过，编写py脚本恢复编码后打开，即可得到flag
2.pcap1
下载附件后发现是pacg文件，打开后搜索字符串flag发现有结果，追踪流，发现flag下方有一串加密 的py代码和加密后的密文，通过py代码审计编写脚本即可得到flag



{{