ctf竞赛训练

实训任务1 FTPASS

题目要求：密码在哪里？

提示1：巧用追踪流

提示2：找到FTP密码即可

结果为：cdts3500

解题过程：

1. 首先我们将压缩包解压并打开里边的文件后发现是一个流量包，过滤出FTP包后分析其中的数据，我们发现了用户名和密码
2. 追踪tcp流，发现了登录的账号和密码。

实训任务2 数据包中的线索

公安机关近期截获到某网络犯罪团伙在线交流的数据包，但无法分析出具体的交流内容，聪明的你能帮公安机关找到线索吗？

提示1：追踪与获取文件有关的HTTP报文

提示2：文件内容的编码

提示3：转码网站：the-x.cn

提示4：结果为flag{209acebf6324a09671abc31c869de72c}

解题过程：

1. 解压并打开文件后发现是一个流量包，为了得到在线交流的数据，首先过滤出HTTP报文，然后分析数据，发现最后一个报文中出现了text/html，判断与聊天数据有关。
2. 追踪http流，得到了信息，但是是一段使用base64加密的数据。
3. 使用网站对该数据进行解密，解密后发现是个JPG文件，打开该文件后得到了结果。

实训任务3 被嗅探的流量

某黑客潜入到某公司内网通过嗅探抓取了一段文件传输的数据，该数据也被该公司截获，你能帮该公司分析他抓取的到底是什么文件的数据吗？

提示1：HTTP流量

提示2：追踪上传文件相关的痕迹（POST请求）找到flag

提示3：结果为flag{da73d88936010da1eeeb36e945ec4b97}

解题过程：

1. 解压并打开文件发现是一个流量包，首先我们判断出文件传输使用的是http协议或者ftp协议，过滤ftp包后并没有内容，因此判断是http报文，过滤后我们分析其中的数据。
2. 从中找到与上传文件有关的痕迹，其中有两个POST请求，第二个POST请求和上传文件相关，追踪http流，在里面发现了结果。

实训任务4 大白

看不到图？ 是不是屏幕太小了。

提示1：图显示不全

提示2：如何修改图片大小显示出隐藏的部分？（winhex软件）

提示3：结果为flag{He1l0_ _d4_ _ba1}

解题过程：

1. 解压压缩包后发现里面只有一张图片，但是这个图片很明显少下边的半部分，首先判断突破口是不是截取的图片下半部分。
2. 我们使用winhex工具来恢复图片，并分析里边的数据。
3. 在整个图片的16进制数据中，找到表示宽和高的数据，将图像高度的数据增加到000001FF,保存成功后再次打开图片，便能看到最终的答案。

实训任务5秘密藏在了哪里？

RT。

提示1：压缩包注释信息是真正的压缩包（但数据有损坏）

提示2：如何根据压缩文件的头尾特征修复损坏的数据？（Hxd软件）

提示3：保存为文件后解压。

结果为：flag{c75af4251e0afde2fc62e0a76d856774}

解题过程：

1. 我们将该压缩包解压后，发现里边仍然是一个压缩包，该压缩包里面的文件是wrongflag.txt，没有任何线索，但是与其他压缩包不同的是右边的注释。
2. 注释的最下面是一串十六进制的编码，发现编码的头部和压缩文件zip的首部一致，因此判断是不是一个压缩包的数据。
3. 在HxD工具中复制此代码，保存好后打开，发现确实是一个压缩包，但显示解压后的文件被损坏。
4. 回到HxD工具，分析这段压缩包数据，看到压缩源文件数据区开始50 4B 03 04是头文件标记，14 00是解压文件所需 pkware 版本，00 00是扩展记录长度，01 00是全局方式位标记（有无标记），01是加密标记，确认第一位改成任意偶数即可。.
5. 继续查看压缩源文件目录结束标志尾部，50 4B 05 06是目录结束标记，第一个00 00是当前磁盘编号，第二个00 00是目录区开始磁盘编号，01 00是同样为加密位修改成和全局方式标记位相同偶数即可。
6. 再次打开压缩包并解压文件，发现可以正常显示结果。

实训任务6小明的保险箱

小明有一个保险箱，里面珍藏了小明的日记本，他记录了什么秘密呢？告诉你，其实保险箱的密码是小明的银行密码。

提示1：winhex打开，查看图片中是否包含zip、rar(通过文件头判断)等文件？

提示2：修改图片后缀得到加密压缩包

提示3：密码是小明的银行卡密码（有什么特征？），压缩包密码爆破（AAPR工具）。

结果为：flag{75a3d68bf071ee188c418ea6cf0bb043}

解题过程：

1. 解压并打开文件，发现是一张图片，并且图片宽度和高度很合适，打开winhex工具分析此图片的数据。
2. 在尾部发现了和rar压缩文件数据头相同的数据，除此判断是一个rar压缩包，新建一个文件，复制尾部的数据后将文件保存为rar格式，发现确实是一个可以打开的压缩包。
3. 打开后，里面有一个txt文件，但是需要输入密码解压，根据提示，是小明的银行卡密码，所以判断是数字组成的，使用暴力破解工具（AAPR）进行破解，20s得到了解压的密码：7869。
4. 输入密码后打开文件得到了结果

实训任务7 刷新过的图片

提示1：图片 F5 隐写解密（https://github.com/matthewgao/F5-steganography）

提示2：zip 伪加密，如何修复被改动的数据？（010 editor工具）

提示3：结果为flag{96efd0a2037d06f34199e921079778ee}

结果为：

解题过程：

1. 解压文件并打开发现是一张图片，并且根据该题目名称分析，该题与刷新（F5）有关，是F5隐写，使用工具F5-steganography，运行后得到了如下结果：
2. 使用HxD分析output.txt文件，发现数据头和zip文件的数据头一致，判断该文件是一个zip文件，更改文件类型后打开该压缩包，发现解压时需要密码。
3. 使用暴力破解软件（AAPR）并没有得到结果，因此判断这是一个伪加密文件。
4. 我们使用HxD分析该压缩包的数据，将该位置的01变为00后保存文件，此时已经可以解压，打开以后得到了最终的答案。

实训任务8 so easy

结果为：flag{870c5a72806115cb5439345d8b014396}

解题过程：

1.该题文件是一个压缩包，打开之后发现里面有一张图片，右击打开属性，在详细信息中发现了结果。

实训任务9 让暴风雨猛烈吧

结果为：flag{70354300a5100ba78068805661b93a5c}

解题过程：

1. 将该压缩包解压时发现需要输入密码，根据题目名称首先想到了暴力破解，使用暴力破解工具（PPAR）进行破解，得到了解压密码为：2563
2. 解压之后打开该文件，显示的一串数据末尾是’=’，判断是使用base64编码后的数据，使用解码工具进行解码，得到了最终的结果。

实训任务10 biubiu

结果为：flag{stego_is_s0_bor1ing}

解题过程：

1. 解压该文件后，是一张图片，打开图片并没有找到实用的信息。
2. 使用HxD工具对该图片进行分析，找对应的文本，发现在末尾就是该题的答案。

实训任务11 被窃取的文件（被偷盗的文件）

结果为：.flag{6fe99a5d03fb01f833ec3caa80358fa3}

解题过程：

1. 解压并打开文件，发现是一个数据包，根据题目名称，与文件有关，从中过滤出ftp，

发现了一个和flag相关的压缩包

2.导出该压缩包

3.，打开之后发现需要密码才能解压，使用暴力破解工具（PPAR），破解后得到解压到密码：5790，解压之后得到最后的结果。