BUUCTF MISC 解题思路及实现过程

BUUCTF misc 答案

签到

flag 直接给出来了

---

jin三bang

一张gif动图，肉眼看到有几帧闪过去什么东西，查看图片帧情况，

解题思路：可以用在线网站gif图片解析网站查看，或者用stegsolve

这里用在线gif图片查看网站在线GIF图片帧拆分工具 - UU在线工具 (uutool.cn)拆分查看

连起来就是flag（这个竟然不是hello，里面的l其实是数字1）沙软题目。

flag{he11ohongke}

---

你竟然赶我走

打开是一张图片，用编辑器打开看，发现没什么信息，滑到最后发现，在末尾给出了flag，直接提交

flag{stego_is_s0_bor1ing}

---

二维码

一张二维码图片，扫出来得到纯文本 secrat is here（也可以用手机扫）

发现不是答案

放进编辑器里查看

我们发现，AE 42 60 82是.png图片的16进制的文件尾。理应到这就结束，但后面还有一串东西

仔细一看，50 4B 03 04，这不是.zip的文件头吗（感兴趣的同学可以搜搜常见文件的文件头）

因此，可以判定二维码图片下隐藏了一个.zip文件

接下来分离文件，可以新建一个文件把后面的复制过去，但我一般都是直接把前面的都删掉，即把50 4B 03 04前面的值删去，然后保存

（这样的做法是因为一般都会给你一个压缩包，解压出来的文件才是题目，你可以对其随意修改，到后面不想改了，可以直接删除，反正还能再从压缩包里解压出来用）

题目提示是4位密码，那我们用软件爆破密码

这里用ARCHPR(压缩密码暴力破解软件)

输入密码，打开4number.txt即可得到flag

CTF{vjpw_wnoei}

（这个flag好像是用flag{}包起来的，如果不对，就试试这个flag{vjpw_wnoei}）

---

大白

看了图片，感觉有部分信息被隐藏（图片少了一半），编辑器打开图片

第二行数据前四位表示宽度，紧接着的四位表示高度，随便改改，这里将高度01改为02

再次打开图片即可发现 flag，可以发现图片底部存在透明区域

如果想知道图片具体原尺寸可能需要用TweakPNG

flag{He1l0_d4_ba1}

---

乌镇峰会图

题目是一张图，提示图片有隐藏信息

编辑器打开看看

最后面的部分即为flag

flag{97314e7864a8f62627b26f3f998c37f1}

---

N种方法解决

解压文件出来是一个.exe的程序，打开不了，放进编辑器里看看或者用note++打开/或者记事本

显示这个是一个用base64加密的图片，复制将其直接在浏览器打开，发现是一个二维码图片，手机扫码就可以得到结果

flag{dca57f966e4e4e31fd5b15417da63269}

---

wireshark

密码即是答案

用wireshark打开，检索password，得到value

value值Value: ffb7567a1d4f4abdffdb54e022f8facd

flag{ffb7567a1d4f4abdffdb54e022f8facd}

---

基础爆破

下载解压出来是一个rar文件，解压需要密码

题目提示密码是4位数字

因此直接用ARCHPR爆破

得到密码2563

打开得到一串数字，感觉是base64编码，用base64解密在线网站解一下码

flag{70354300a5100ba78068805661b93a5c}

---

文件中的秘

打开图片发现是一个路飞，找不到其他信息

编辑器打开，发现头部有Exif

可交换图像文件格式（英语：Exchangeable image file format，官方简称Exif），是专门为数码相机的照片设定的文件格式，可以记录数码照片的属性信息和拍摄数据。

Exif可以附加于JPEG、TIFF、RIFF等文件之中，为其增加有关数码相机拍摄信息的内容和索引图或图像处理软件的版本信息。

如：拍照方向、相机设备型号、拍摄时间、ISO 感光度、GPS 地理位置等数据

因此图片很可能在这里记录了信息，查看文件属性，在备注中发现了 flag。

右键查看图片属性，在详细信息这里看到了flag

flag{870c5a72806115cb5439345d8b014396}

---

LSB

最高有效位（MSB） 指二进制中最高值的比特。在16比特的数字音频中，其第1个比特便对16bit的字的数值有最大的影响。例如，在十进制的15389这一数字中，相当于万数那1行（1）的数字便对数值的影响最大。比较与之相反的“最低有效位”（LSB）。

LSB 表示最低有效位，针对的是 RGB 颜色分量的最低位,该位的变化人眼无法感知变化。

题目下载下来是一张中国矿业大学的校徽图

使用 stegsolve 打开图片，一直点，发现 RGB 分量最低位都存在隐藏信息。

勾选对应RGB最低位，save bin

得到一张二维码图片，扫描一下

flag{1sb_i4_s0_Ea4y}

---

zip伪加密

下载来是一个压缩包，题目提示是伪加密，说明文件被加密但不需要密码

放进编辑器看看

找到目录头50 4B 01 02，再看其后面的8个字节01 00，将01 00 改成00 00即可解除伪加密

flag{Adm1N-B2G-kU-SZIP}

---

被嗅探的流量

下载解压后用wireshark打开，搜索关键词flag{}，即可得到flag

flag{da73d88936010da1eeeb36e945ec4b97}

---

rar

下载好的压缩包需要密码，题目提示为4位

flag{1773c5da790bd3caff38e3decd180eb7}

---

qr

文件下载好是一张二维码图片

手机扫一扫即可得到flag

或者用在线二维码解析网站

flag{878865ce73370a4ce607d21ca01b5e59}

---

镜子里的世界

下载好打开是一张图片，上面说看仔细一点，用编辑器打开以及查看属性均未发现有效信息。

首先肯定放到editor里看看，但是没有发现什么有用的信息

会不会是像素的问题，放进stegsolve里看看

我们发现在蓝、绿、红三个最低位对应的三个通道全黑且左上角有白色字体，估计是flag

所以，进入data extract，并勾选上对应RGB颜色的最低位，预览（prebiew）

flag在顶部出现：

flag{st3g0_ saurus_wr3cks}

---

ningen

下载得到一张图片，打开后发现没有什么关键信息，放进编辑器看看

在文件底部发现了一个.txt文本文件

再根据题目提示到，需要4位的密码，说明原本文件被加密过，打开搜索框，搜索50 4B 03 04（这是.zip文件的文件头）

存在zip文件头，将其前面的所有数据删去

然后将图片的.jpg改成.zip

再爆破得到口令，里面是一个文本文件打开既是flag

flag{b025fc9ca797a67d2103bfbc407a6d5f}

---

爱因斯坦

下载解压出来是一张爱因斯坦的图片，放进编辑器发现了exif，查看其文件属性

尝试一下，发现不是flag（虽然说是不是密码，但试一试又不要紧）

再观察后发现似乎隐藏了一个文件

老办法，将前面的删去，再把文件后缀名改成zip

可是，密码是什么呢？还记得前面看到exif查看的文件属性吗，备注就是密码

flag{dd22a92bf2cceb6c0cd0d6b83ff51606}

---

小明的保险箱

下载打开是一张图片

用编辑器打开看看

发现exif，查看文件属性，发现好像不是

结合题目说有4位的密码，推测应该有隐藏文件

我们发现原本的.jpg文件的二进制应该到FF D9（FF D9就是jpg的2进制文件尾）就应该结束，此时后面跟了一堆东西，所有说，后面的数据是不是隐藏的文件呢？

我们发现再FF D9后是52 61 72 21，这不就是.rar文件的文件头吗

说明后面隐藏了一个.rar的文件

老办法，将52前面的都删掉，即删去图片.jpg

然后文件重命名为.rar的后缀

爆破得密码

flag{75a3d68bf071ee188c418ea6cf0bb043}

---

easycap

文件下载解压出来是一个流量包

• 方法一：

用wireshark打开后发现都是tcp的数据流，随便点击看看有没有信息，发现没有

这时可以采用追踪流追踪TCP流

得到flag

FLAG:385b87afc8671dee07550290d16a8071

• 方法二：

我们按顺序点击每一个流量，发现到了第四个的时候出现了data，此后每隔一个数据包就有一个data

猜测：中间没有data的表示空格

将每个数据包的data表示的数字列出来得：

46 4c 41 47 3a 33 38 35 62 38 37 61 66 63 38 36 37 31 64 65 65 30 37 35 35 30 32 39 30 64 31 36 61 38 30 37 30 0a

有字母，数字，还成对，推测是16进制

解码：

在线网站：在线字符串/十六进制互相转换—LZL在线工具 (lzltool.cn)

---

隐藏的钥匙

解压出来是一张图片，浏览一遍发现没什么信息，搜索框搜flag，发现被base64加密了flag

解码得到

flag{377cbadda1eca2f2f73d36277781f00a}

---

另外一个世界

下载解压出来是一张图片，放进编辑器里看看

发现最底下有一串2进制代码，复制，解码在线字符串/二进制互相转换—LZL在线工具 (lzltool.cn)

flag{koekj3s}

---

神秘的龙卷风

下载解压，发现里面还有一个压缩包，需要密码，结合题目的提示（密码是4位数字）

不知道是什么，别人的writeup里说这个是叫做brainfuck的语言，极其小众，网上搜brainfuck解码

brainfuck在线运行,在线工具，在线编译IDE_w3cschool

得到flag

flag{e4bbef8bdf9743f8bf5b727a9f6332a8}

---

FLAG

下载下来是一张图片

没什么想法就先放到editor里看看， 并且常见图片隐写方式没有发现（先搜索flag、ctf、zip的头文件50 4b等等都没有）

那会不会是色域方面的问题，看看，放进stegsolve

LSB隐写一般勾选这红绿蓝为0的三个，右边默认，然后preview。若看不到隐藏的信息，可以试试修改右边的 bit order 或者 bit plane order 。一般都能成功

发现头文件PK，一般是zip文件，所以savebin，保存为.zip文件

然后发现解压不出来，看网上wp在linux里解压

拉进kali，打开压缩包，直接把里面的文件拖出来

./1直接打开（1是因为savebin的时候把文件名设置为1）

然后发现

zsh: permission denied: ./1

这个问题是用户权限不够，给个权限就行了

如下图，发现文件1为rw-r-r，root用户都没有执行权限

./1执行即可

flag{dd0gf4c3tok3yb0ard4g41n~~~}

---

数据包中的线索

下载解压是一个流量包，用wireshark打开

首先尝试搜索flag，发现没有

然后点点看每个数据包看看有什么信息，结果没有

接着把每一部分的数据流都追踪一遍看看有什么发现

然后追踪到

发现可疑数据

拉到最底把=号后面的0删去，复制下来，在前面加上base64的前缀

data:image/png;base64,
​
​

最后像前面有道题目一样，复制到浏览器地址栏打开

flag{209acebf6324a09671abc31c869de72c}

---

假如给我三天光明

一张图和一个压缩包，压缩包需要密码

密码应该就是从图片里找

可以发现图片下方有一些小黑点，可是他们代表什么意思呢？

搜索发现，这其实是盲文

我们可以搜索盲文对照表，翻译一下是什么意思

翻译过来就是 kmdonowg

这个应该就是压缩包的解压密码

解压出来是一首歌（歌曲一般都是摩斯密码）

audacity打开

将上面的轨道（既摩斯密码轨道）拉长（ctrl+滚轮）

较短表示 .

较长表示 -

间隔表示空格

将他们列出来，解码

-.-.  -  ..-.  .--  .--.  .  ..  -----  ---..  --...  ...--  ..---  ..--..  ..---  ...--  -..  --..

删去前面的CTF，再用flag{}包起来

不对？

换成小写就行了

flag{wpei08732?23dz}

---

 

持续更新ing...

---