文章目录
misc 5
StegSolve 打开图片,选中 Analyse 的 File Format 模块。或者 010 最下面得到 flag。
misc 6
010 打开图片,ctrl + f 搜索 ctfshow
misc 7
010 继续搜 ctf
misc 8
010 打开 png ,文件头文件尾没有问题。
文件头:89 50 4E 47 文件尾:AE 42 60 82
binwalk 处理图片,发现有两张图片,foremost 分离图片。
outfile 文件夹里即可看到结果。
misc 9
010 打开即可。
misc 10
binwalk 图片,发现有几个压缩文件
分离文件
binwalk -e misc10.png --run-as=root
打开 10E5 文件即可。
misc 11
binwalk 分离一下。2个zlib有两张图片。
打开 Tweakpng 工具,可以看到第一个 IDAT 明显小于第二个。这意味着在第一个数据块还没铺满时第二个数据块就开始铺了,人为改动的痕迹明显。
删除第一个 idat 然后 f7 预览一波
misc 12
打开 Tweakpng 工具,看到很多 idat,一个一个删除然后 f7 预览,直到看到 flag。
misc 13
010 打开文件,发现 flag 每个字符之间插入了其他字符
我们把他的 16 进制复制下来隔一个字节删一个即可
misc 14
010 没看出是啥。
binwalk 一下发现 有两个 jpg
直接 foremost 文件 提取不了,binwalk -e 也提取不出来。
直接手动提取最后一个 jpeg
010 搜索 文件头 FF D8 FF。
找到最后一处然后一直赋值粘贴到另一个新建上,保存为 1.jpg 打开即可
misc 15
010 打开搜索 ctf
misc 16
010 打开没啥东西,binwalk 看一下里面藏了压缩包,binwalk -e 分离,flag 就在 DD4 文件里。
misc 17
binwalk 分离出了打不开的压缩包文件,用 steg
git clone https://github.com/zed-0xff/zsteg
cd zsteg/
gem install zsteg
zsteg misc17.png
可以发现有一个 3544 bytes 的隐藏文件,位置是 extradata:0
分离隐藏文件
zsteg -e "extradata:0 " misc17.png > flag
binwalk 分离 flag 文件
binwalk -e flag --run-as=root
打开图片即可
misc 18
flag 就在文件属性里面
misc 19
提示:flag在主机上的文档名里。
所以用 exiftool 查看图片的 exif 信息
exiftool misc19.tif
或者在线网站查看图片 exif 信息 https://exif.tuchong.com/
可以发现 flag 在文档名称字段和主机字段
Exif是可交换图像文件格式(Exchangeable image file format),是一种标准,定义了与数码相机捕获的图像(或其他媒体)有关的信息,用于存储重要的数据,比如相机的曝光、拍摄日期和时间,甚至GPS定位等
ExifTool由Phil Harvey开发,是一款免费、跨平台的开源软件,用于读写和处理图像(主要)、音视频和PDF等文件的元数据(metadata)。
misc 20
提示:flag在评论里。
和上一题一样
flag 在 Comment 字段里
misc 21
提示:flag在序号里。
一样查看 exif。
然后找到序号字段:686578285826597329
拿去随波逐流解密一下,发现是 base16:base16解码: hex(X&Ys)
把四段 xy 的值拼接起来转为 16 进制。
misc 22
提示:flag在图片里。
法一:
010 打开发现有两个 jpg 头,提取后面一个保存为 jpg 文件
法二:
图片拖到 kali 里面直接出答案了
法三:
MagicEXIF 直接打开即可看到flag。
magicexif元数据编辑器是一款非常专业的照片magicexif元数据编辑器,该软件可以通过分析照片的元数据以及编码特征来计算图像可信度,从而判断照片是否被修改,同时还能对相机的快门次数、镜头参数、光圈档位等进行查看和编辑。
misc 23
在线的分离不出来,我们用 kali 的 exiftool
根据提示:时间
找到四个时间戳,分别丢进时间戳在线转换里面,得到:
874865822,2699237688,2156662200,460377706
再分别转换为 16 进制
3425649e,a0e31938,808c0de5,1b70ce6a
然后合并得到 flag
ctfshow{3425649ea0e31938808c0de51b70ce6a}
misc 41
H4ppy Apr1l F001’s D4y!
所以全局搜索 F001 就能看出 flag 了