cuihua 2022.4.11-17BUU刷题记录

25[MRCTF2020]摇滚DJ

1.题目概述

2.解题过程

听了一下，真难听，

audacity打开，波形是平的

和前面那道题有点像

kali的qsstv工具

安装qsstv

apt install qsstv

安装成功后，在终端下输入qsstv，自动打开

下载好后，在终端输入qsstv，系统自动打开qsstv，然后点击Options->configuration->sound->sound input->from file

点击OK,然后点击这个按钮，选择要解码的文件，然后就开始解码啦

flag{r3ce1ved_4n_img}

3.flag

flag{r3ce1ved_4n_img}

26.[XMAN2018]排位赛]file

1.题目概述

2.解题过程

看来又是一道内存取证题

查看基本信息

./volatility -f 26.img imageinfo

奇怪了，怎么没有结果

那就要使用另一个程序来处理了

trid下载与安装，参考

(11条消息) 文件类型识别工具：TrID(trid)下载安装及使用_Red snow的博客-CSDN博客

然后就可以进行分析了

trid分析文件

./trid 26.img

可以看到可能的文件类型

没发现什么，再去虚拟机挂载看看

mount挂载

命令：

mount 26.img /mnt

进行挂载，不成功的话可以加个sudo或者多试几次，直至输入ls出现文件

输入cd /mnt，再输入ls出现文件表明挂载成功

然后再输入ls -lha查看具体信息

到文件系统中打开mnt文件夹，查看分离出的图片

并没有找到什么，但是前面ls查看时有lost+found字样，百度一下

ext指extundelete，可以恢复文件，具体可以参考这篇博客

(11条消息) 文件恢复原理&&Linux文件恢复工具-foremost&extundelete_Red snow的博客-CSDN博客_foremost 恢复

extundelete恢复文件

使用命令：

extundelete 26.img --restore-all 

然后打开恢复的文件夹

打印输出

使用cat命令打印或者010打开文件

cat file.17

或者先查看恢复的文件是什么，然后再打印出来

010

3.flag

flag{fugly_cats_need_luv_2}

4.知识点

cat,ls,extundelete命令恢复文件，mount挂载文件

27.[SCTF2019]Ready_Player_One

1.题目概述

2.解题过程

一上来有点懵，这是啥？

运行一下那个程序看看,是一个游戏，靠最右侧直接一路上去就发现flag了

flag{You_Are_The_Ready_Player_One!!!For_Sure!!!}

3.flag

flag{You_Are_The_Ready_Player_One!!!For_Sure!!!}

4.知识点

玩游戏获得flag

28.[GUET-CTF2019]520的暗示

1.题目概述

2.解题过程

这个题目名称好有意思

010打开，

photo.dat，那应该和图片有关系，分析开头和结尾

有点类似于jpg的FFD8FF文件头和FFD9文件尾诶，那要怎么样转换成jpg格式呢？想到了那几个常用的计算方法——二进制与，二进制或，二进制异或和二进制反转,优先考虑异或，这个比较常见，CC和FF的二进制分别是：

CC 11001100

FF 11111111

CC^x=11111111

异或运算符是这个意思，参与运算的两个值，如果两个相应bit位相同，则结果为0，否则为1

（1） 0^0=0，01=1 0异或任何数＝任何数

（2） 1^0=1，11=0 1异或任何数－任何数取反

（3） 任何数异或自己＝把自己置0

这样就可以一位位地推导出x是多少了,1-8位x与CC的bit位全是不同的，这就很简单，x应该是

00110011，转换成16进制就是33

在线进制转换器 | 菜鸟工具 (runoob.com)

与33异或

010

看起来很成功

保存，修改后缀为jpg，打开，

这张图片还从来没见过，百度一下

原来需要根据图片中的信息定位，查询网站

https://v.juhe.cn/cell/Triangulation/index.html?s=inner

这个flag很离谱，是中文

flag{桂林电子科技大学花江校区}

3.flag

flag{桂林电子科技大学花江校区}

4.知识点

二进制异或，联通基站定位

29.Beautiful_Side

1.题目概述

2.解题过程

看题目描述，应该和二维码有关

010打开

在文件尾后面发现了png数据，存下来

选中后复制为16进制文本

然后新建一个010文件，粘贴自16进制文本

存下来，打开

是一张残缺的二维码，试了试扫不出来

再回到刚刚图片，stegsolve打开也没发现啥，silent eye也没解出来东西，

百度一下能不能修复

试试看

借助网站

QRazyBox - QR Code Analysis and Recovery Toolkit (merricx.github.io)

新建一个project

然后新建空白的二维码（导入会出错）

调整大小为29x29，这是根据那个残缺的二维码确定的

尺寸说明如下，共29个间隔

然后就一点点的根据这一半二维码进行填充，记得，补全黑色部分后，也要把白色的部分填补上，因为灰色是算“空”的。借助这个分隔进行填充，不然容易搞错

然后点击Tools-Extract QR Infomation

就看到flag了

3.flag

flag{OQWIC_4DS1A_S034S}

4.知识点

二维码修复工具

30.大流量分析（二）

1.题目概述

2.解题过程

打开第一个看看

邮箱协议

POP3

POP3是Post Office Protocol 3的简称，即邮局协议的第3个版本,它规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议。它是因特网电子邮件的第一个离线协议标准,POP3允许用户从服务器上把邮件存储到本地主机（即自己的计算机）上,同时删除保存在邮件服务器上的邮件，而POP3服务器则是遵循POP3协议的接收邮件服务器，用来接收电子邮件的。(与IMAP有什么区别？)

SMTP

SMTP 的全称是“Simple Mail Transfer Protocol”，即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范，通过它来控制邮件的中转方式。SMTP 协议属于 TCP/IP 协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。SMTP 服务器就是遵循 SMTP 协议的发送邮件服务器。
　　SMTP 认证，简单地说就是要求必须在提供了账户名和密码之后才可以登录 SMTP 服务器，这就使得那些垃圾邮件的散播者无可乘之机。
　　增加 SMTP 认证的目的是为了使用户避免受到垃圾邮件的侵扰。

IMAP

IMAP全称是Internet Mail Access Protocol，即交互式邮件存取协议，它是跟POP3类似邮件访问标准协议之一。不同的是，开启了IMAP后，您在电子邮件客户端收取的邮件仍然保留在服务器上，同时在客户端上的操作都会反馈到服务器上，如：删除邮件，标记已读等，服务器上的邮件也会做相应的动作。所以无论从浏览器登录邮箱或者客户端软件登录邮箱，看到的邮件以及状态都是一致的。（与POP3有什么区别？）

参考：什么是POP3、SMTP和IMAP?-163邮箱常见问题

百度一下常用的SMTP协议

过滤smtp流量，可以很明显的看到几个邮箱地址

打开其中一条

可以知发送邮箱是 xsser@live.cn

3.flag

flag{ xsser@live.cn}

4.知识点

SMTP邮箱协议

31.[GKCTF 2021]FireFox Forensics

1.题目概述

2.解题过程

取证题目,名称是火狐，可以借助一个工具

firepwd ，github下载工具

https://github.com/lclevy/firepwd

打开解压后的文件夹，打开终端，输入

python firepwd.py logins.json

在最后面看到flag

如果出错自行百度

注意这个flag不用flag{}包起来

3.flag

GKCTF{9cf21dda-34be-4f6c-a629-9c4647981ad7}

4.知识点

firepwd工具的使用

32.[DDCTF2018]第四扩展FS

1.题目概述

2.解题过程

010打开

百度一下The fourth extended filesystem

这不是前面那个文件恢复程序嘛

没有img文件，先放着，

查看图片属性

有备注，第一时间联想到压缩包密码

用Kali的foremost分离看看

foremost分离

jpg文件夹里还是刚刚那张图片，压缩包打开是加密的，正好用前面那个备注里的信息破解一下试试

Pactera

还真是解压密码，得到一个file.txt

这熟悉的感觉，

统计字频

脚本

import re

file = open('file.txt')    #根据路径自行调整
line = file.readlines()
file.seek(0,0)
file.close()

result = {}
for i in range(97,123):
   count = 0
   for j in line:
      find_line = re.findall(chr(i),j)
      count += len(find_line)
   result[chr(i)] = count
res = sorted(result.items(),key=lambda item:item[1],reverse=True)

num = 1
for x in res:
      print('频数第{0}: '.format(num),x)
      num += 1

D:\Programes\py37_work\Scripts\python.exe D:/Programes/pythonProject/字频统计.py
频数第1:  ('h', 1700)
频数第2:  ('u', 1650)
频数第3:  ('a', 1600)
频数第4:  ('n', 1550)
频数第5:  ('w', 1500)
频数第6:  ('e', 1450)
频数第7:  ('s', 1350)
频数第8:  ('i', 1300)
频数第9:  ('k', 1250)
频数第10:  ('o', 1150)
频数第11:  ('b', 0)
频数第12:  ('c', 0)
频数第13:  ('d', 0)
频数第14:  ('f', 0)
频数第15:  ('g', 0)
频数第16:  ('j', 0)
频数第17:  ('l', 0)
频数第18:  ('m', 0)
频数第19:  ('p', 0)
频数第20:  ('q', 0)
频数第21:  ('r', 0)
频数第22:  ('t', 0)
频数第23:  ('v', 0)
频数第24:  ('x', 0)
频数第25:  ('y', 0)
频数第26:  ('z', 0)

进程已结束,退出代码0

结果似乎有点问题，还是用网站吧

网站

语料库在线–字词频统计 (zhonghuayuwen.org)

3.flag

flag{huanwe1sik4o!}

4.知识点

图片属性，foremost分离，字频统计