争取下次更新到前3000!李师傅冲榜了!
33.被劫持的神秘礼物
题目描述:某天小明收到了一件很特别的礼物,有奇怪的后缀,奇怪的名字和格式。小明找到了知心姐姐度娘,度娘好像知道这是啥,但是度娘也不知道里面是啥。。。你帮帮小明?找到帐号密码,串在一起,用32位小写MD5哈希一下得到的就是答案。 链接: https://pan.baidu.com/s/1pwVVpA5_WWY8Og6dhCcWRw 提取码: 31vk 注意:得到的 flag 请包上 flag{} 提交 下载得到一个pcapng的文件,丢到Wireshark里面看看 过滤出http,看看能有什么线索,追踪一下它们的流,发现第一个HTTP包有情况,追踪流发现是登录记录的,具体看看:
name=admina&word=adminb&cooktime=0&checkcode=5129&returnurl=http://192.168.60.123/index.php?r=default/index/indexHTTP/1.1 302 Found
貌似用户名和密码
直接终端上用phpmd5加密一波就好了:
代码语言:javascript复制输入:php -r "echo ('adminaadminb');"
输出:1d240aafe21a86afc11f38a45b541a49
flag:flag{1d240aafe21a86afc11f38a45b541a49}34.刷新过的图片
题目描述:浏览图片的时候刷新键有没有用呢 注意:得到的 flag 请包上 flag{} 提交 emmmm打开是一张极其猥琐的笑容,这里就不琢磨了,先丢到010editer和Stegsolve还有binwalk里简单看看 没有发现什么问题,这里提示刷新,那就立马想到F5隐写,用工具F5-steganography: 这里没有工具的话直接使用命令: git clone https://github.com/matthewgao/F5-steganography 安装好之后在F5-steganography打开终端,然后使用命令: java Extract /Users/macbook/Desktop/Misc.jpg (这里的桌面咱们可不一样啊,按照自己的路径和文件所在路径来) 运行得到:
发现output.txt是一个乱码,用010editer打开看看,发现有压缩包的意思,那就先给一下文件后缀名:
解压得到flag.zip,搞定!
35.snake
于是分离一下
有一段base64,这里简单解码一下,看看是怎么回事:
What is Nicki Minaj's favorite song that refers to snakes? 百度得知有首歌是anaconda 接下来要考虑的就是加密的方式了,与蛇有关的,百度到serpent加密 serpent加密 科普: Serpent,是一个对称密钥块密码,这是在高级加密标准(AES)的较量,它被排在第二位,以Rijndael算法入围。Serpent是由罗斯·安德森,礼比哈姆,和Lars努森设计。像其他的AES意见书,Serpent具有128比特的块大小和支持的128,192或256位的密钥大小。[2]所述的密码是32轮取代-置换网络的4个32位字的块上操作。每轮适用的8个4比特至4比特S-box的并行32倍之一。Serpent的目的是使所有的操作可以并行执行时,采用32位的切片。这最大限度地提高并行性,而且还允许使用DES上进行的广泛的密码分析工作。包括Serpent-ECB,Serpent-CBC,Serpent-CTR,Serpent-OFB,Serpent-CFB
36.[BJDCTF2020]认真你就输了
但是问题是它提示了:The flag is under this nicely made chart. 但是这个表我移走还是放大缩小都不太行,这里就丢到010editer里面看看吧,好家伙一打开直接关键字满屏幕 发现有关键字PK和xl/charts/flag.txt
初步判断为word文档隐写,word文档结构为压缩包,因为xls特殊性质,也可以拿压缩包打开进行查看里面的数据,直接使用解压软件打开压缩包。根据提示在xlcharts路径下可以找到flag.txt文档。
37.菜刀666
题目提示:流量分析,你能找到flag吗 注意:得到的 flag 请包上 flag{} 提交 打开wireshark进行流量分析,题目提示菜刀666,菜刀都是 POST 所以直接搜 POST逐流追踪
逐个往下 追踪流7 看到一串很长的内容 看到传了两个参数
z1参数跑出来是一个照片的地址 D:wamp64wwwupload6666.jpg7 z2是十六进制保存文件就是这个 6666.jpg
脚本:
代码语言:javascript复制s='填写16进制数据'
import binascii
out=open('2.jpg','wb')
out.write(binascii.unhexlify(s))
out.close()尝试提交flag,发现错误了,那可能还没有结束,应该有个加密压缩包,密码是这个,再继续分析追踪流 继续查找到第九个流:
现在我们并不知道压缩包在哪里,怎么办?那就直接分离pcapng文件,看我操作:
用刚才图片里的密码解压,拿到flag,搞定!
38.[BJDCTF2020]藏藏藏
这里直接用tree看看
很奇怪,为什么我的Mac和kali分离出来的结果不一样?
代码语言:javascript复制Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File
Foremost started at Mon Oct 11 09:47:34 2021
Invocation: foremost 藏藏藏.jpg
Output directory: /Users/macbook/Desktop/output
Configuration file: /usr/local/etc/foremost.conf
------------------------------------------------------------------
File: 藏藏藏.jpg
Start: Mon Oct 11 09:47:34 2021
Length: Unknown
Num Name (bs=512) Size File Offset Comment
0: 00000000.jpg 49 KB 0
1: 00000099.zip 12 KB 51182
Finish: Mon Oct 11 09:47:34 2021
2 FILES EXTRACTED
jpg:= 1
zip:= 1
------------------------------------------------------------------
Foremost finished at Mon Oct 11 09:47:34 2021这是mac的分离情况:
做题还需谨慎!多试试才行,差点入坑
39.被偷走的文件
题目描述:一黑客入侵了某公司盗取了重要的机密文件,还好管理员记录了文件被盗走时的流量,请分析该流量,分析出该黑客盗走了什么文件。 注意:得到的 flag 请包上 flag{} 提交 传输文件看到了ftp协议,过滤一下
49 1.588660 172.16.66.188 172.16.66.10 FTP 81 Request: RETR flag.rar 这条信息有flag.rar,我们追踪一下:
直接用foremost分离一下:
代码语言:javascript复制Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File
Foremost started at Mon Oct 11 12:45:47 2021
Invocation: foremost 被偷走的文件.pcapng
Output directory: /Users/macbook/Desktop/output
Configuration file: /usr/local/etc/foremost.conf
------------------------------------------------------------------
File: 被偷走的文件.pcapng
Start: Mon Oct 11 12:45:47 2021
Length: Unknown
Num Name (bs=512) Size File Offset Comment
0: 00000011.rar 27 KB 5898 Encrypted Headers!
Finish: Mon Oct 11 12:45:47 2021
1 FILES EXTRACTED
rar:= 1
------------------------------------------------------------------需要解压密码,爆破之前先看看是不是伪加密,放到010editer里面看看。但是并没有找到伪加密的特征值 这里我没用爆破,因为一般可以爆破的话题目会给爆破范围提示。 但是这样的话只能爆破了:
解压得到flag:flag{6fe99a5d03fb01f833ec3caa80358fa3}
40.梅花香之苦寒来
常规010editer没发现什么rar,zip的压缩爆破,这里直接进行foremost分离,有一个文件包,里面有很多文件,tree一下看看都有什么:
但是里面都是空的,zip和rar里面也没有东西,返回再去看二进制编码,发现末尾全是16进制字符串
将16进制数据复制到 hex.txt 利用脚本转化为 ascii 获取坐标点:
代码语言:javascript复制with open('/Users/macbook/Desktop/hex.txt', 'r') as h:
h = h.read()
with open('./Users/macbook/Desktop/ascii.txt', 'a') as a:
for i in range(0, len(h), 2):
tmp = '0x' h[i] h[i 1]
tmp = int(tmp, base=16)
if chr(tmp) != '(' and chr(tmp) != ')':
a.write(chr(tmp))
用 matplotlib 绘图得到二维码:
代码语言:javascript复制import matplotlib.pyplot as plt
import numpy as np
x, y = np.loadtxt('/Users/macbook/Desktop/ascii.txt', delimiter=',', unpack=True)
plt.plot(x, y, '.')
plt.show()也可以直接16进制转图片,之前有做过类似的题:
代码语言:javascript复制s=''
import binascii
out=open('/Users/macbook/Desktop/1.jpg','wb')
out.write(binascii.unhexlify(s))
out.close嫌麻烦的可以直接上在线网站解决:16进制转二进制
