CTF-RE-文件数据修复

最新推荐文章于 2024-06-08 23:25:58 发布
最新推荐文章于 2024-06-08 23:25:58 发布
阅读量6.3k 收藏 4
点赞数 1
分类专栏: CTF-RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/91354562
版权

题目大致意图是:解密CTF.ctf文件,然后再从中找到flag。

由于.ctf文件损坏,并且解密程序可以判断.ctf文件损坏,因此首先选择逆向这个判断条件。

由于有打开文件的操作,所以可以ollydbg打开,找到CreateFile函数下断点

 

F9在CreateFile函数停止,发现下面有一串Readfile函数,这个函数被多次调用。显然是在读取文件中的信息。

找到离我们最近的一个ReadFile函数进行查看。

 

 

读完这个文件的头四个数据之后就直接开始判断文件是否符合条件了。从上图很容易看到解密程序判断.ctf文件的条件是看前4个字节是否为0x33465443,所以我们把这四个字节补进文件头部即可。注意一下小端序

补全文件头之后,用ida打开找到相应的地方。发现一共有这几个ReadFile函数

  

大致流程是:
1.读4个字节,这四个字节当作文件头(即刚才我们补进去的四个字节)

2.读4个字节,得到一个数a。

3.读a个字节,得到一串东西不知道干嘛的。

4.读16个字节,作为key进行校验。

5.读4个字节,当作读取文件数据的字节数b。

6.读b个字节,为文件数据,猜测和对文件的解密有关。

16进制编辑器将.ctf文件打开

知道数据总长度为0x61C0,而上图中有一个0x619C很接近数据的总长度,比较可疑。

计算发现0x619C之后的文件数据长度刚好为0x619C字节,因此可以知道0x619C为读取的文件字节数b。

那么说明0x619C前面6个字节的就是16个字节的key的后六位,我们查看一下和校验有关的函数

 

可以搜常数,发现是一个md5,并且对我们输入的加密密码执行了md5加密两次,然后再和.ctf文件中的key进行逐位验证。

题目中说明了是8位纯数字,因此我们跑脚本即可,算出来解密密码为20160610,然后我们把文件补全。

注意从文件开始的第5个字节,因为后面的长度都已知,因此可以推断出第二次Readfile得到的值为0x11

 

输入正确的key之后可以进行解密文件了,但是会弹出错误窗口,仔细看发现CTF\之后的路径没有名字,而我们文件的头部正好还有一块是没填充的,所以有理由相信这一块是解密后文件的名称,所以我们再修改一下文件头。

比如我在后面填上99,那么文件就会被解密到名为99的文件中,查看发现99文件是PK,所以加后缀名.rar,打开之后某个文件夹中会有一个图片格式的文件,点开就能有flag

 

SuperGate
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF之——Misc_Disk 恢复
Jay
03-08 545
extundelete --restore-all 恢复出一个文件。1、打开文件 hex分析到有root 判断是Linux文件。5、我们看一下题目文件 还有没有其它东西 我们恢复看一下。这是之前那个图片的密码 don0tgu355p@sswd。extundelete 用到这个软件。4、我们拖到windows看 存在密码。这种情况就怀疑对PNG的宽高做手脚,CTF_Misc_Disk 恢复题。需要环境赛题等更多资源请私聊博主。需要环境赛题等更多资源请私聊博主。2、我们linux打开看一下。
CTF简单的文件修复
热门推荐
Jame0x00的专栏
03-09 1万+
CTF简单的文件修复 文件名称:file_repair.zip 双击file_repair.zip,显示文件已损坏,直接将文件拖到winHex中,(作为小白,百度了一下zip文件的格式) ZIP Archive (zip),文件头:504B0304 显然是缺少了50 4B,补全后,文件可以正常解压,出现了一个名字问pic的文件。使用文本打开后,发现乱码,然后用winHex打开。 发现IHDR字...
CTF_Misc_Disk 恢复
WEB渗透测试 从入门到萌新
04-13 2120
1、打开文件 hex分析到有root 判断是Linux文件 2、我们linux打开看一下 └─$ file disk2 disk2: Linux rev 1.0 ext3 filesystem data, UUID=f4d4c80b-0724-4c50-89cc-bfb6f962131c (large files)这是一个ext3 3、我们挂载看看 ┌──(root㉿kali)-[/home] └─# mkdir disk-misc ...
class--杂项(三)
lulu001128的博客
04-03 1062
解题,学习
CTF-流量分析题型总结(1)
最新发布
2301_81864699的博客
06-08 733
ctf的流量分析题细化方向
Bugku-CTF(逆向篇Reverse)--不好用的ce
Nailaoyyds的博客
04-06 420
目录 第一种方法 IDA的使用 第二种方法 干了xdm 开局拿到exe文件。 运行后发现需要点击一万次,果断撤退。 第一种方法 IDA的使用 用ida打开,进去往下滑就能发现一串bese58的编码 这里需要注意一下,这一串字符串是base58加密的,怎么区分base58跟base64呢? Base58不使用数字"0",字母大写"O",字母大写"I",和字母小写"l",以及"+“和”/"符号。 拿到flag 解密以后就拿到flag了 flag{c...
CTFHub 病毒文件恢复 WP
qq_61993117的博客
09-02 338
病毒文件恢复wp
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-RE第一次出题记录
10-21
CTF-RE第一次出题记录
ctf-all-in-one
01-30
ctf-all-in-one
CTF比赛常用离线工具
lc3016的博客
07-25 1453
一、前言我也是小白,刚接触CTF,打了几次比赛,给大家分享几个好用的离线工具,基本上都是Misc工具我会介绍他们的用法和相应题的解法。
ZIP文件损坏修复
08-22
ZIP文件损坏修复 你懂的 问那么多干嘛
CTFCTFHub------历年真题-暴力破解/word文件本质/图片修复/数据包分析一/滴答滴答/栅栏解救/磁盘恢复
从零开始的网安生活
07-24 4174
文章目录历年真题暴力破解word文件本质图片修复好孩子看不见数据包分析一滴答滴答栅栏解救磁盘恢复相关知识CTF中常见的文件头和文件尾 历年真题 暴力破解 1.下载题目附件,发现加密文档 2.使用ziperello进行暴力破解,从压缩包右侧提示可知密码为六位数字 3.打开文档发现没有flag,ctrl+A全选,取消勾选隐藏,即可获得flag word文件本质 1.下载附件之间打开题目文档,并没有发现相关信息 2.根据题目尝试将文件改为zip格式,发现flag 图片修复 1.下载附件发现损坏不能打开,
ctfshow-萌新-web1( 利用intval函数的特性获取敏感数据)
wangyuxiang946的博客
09-08 1万+
ctf.show 萌新模块的web1关, 这一关考察的是intval()函数转换字符串时的特性以及SQL的拼接绕过 这一关直接就给了源码, 并提示我们 id = 1000 时, 就是flag 先分析一下源码, 首先是 intval()函数将参数id转换为数值型, id > 999直接die()结束程序, 也就是说我们传递的id不能大于 999, 明知道1000就是flag, 但不能直接传1000, 否则程序会直接die()结束, 传递的id 即不能大于999, 又需要查询 1...
CTF中的压缩包
m0_46625346的博客
07-24 3174
CTF中的压缩包 压缩包隐写 实际上压缩包本身并不具备隐藏信息的功能,但由于在CTF竞赛中,经常出现压缩包与隐写术结合在一起的题目,所以我们需要掌握在CTF竞赛中有关压缩包的题目的常见考察方向及分析手段。 winhex Winhex是一款非常优秀的16进制编辑器,事实上,使用winhex单纯进行16进制编译在某些程度上有些大材小用,市场上很难找到像winhex一样功能强大的16进制编辑器。当然,它是收费的。本节课我们使用的是winhex的评估版本,可以满足需要。如果你想对winhex有更深层次的了解
ctfshow 损坏的压缩包
Hunter Dreamer的博客
12-27 672
那么我们需要知道文件的真实类型是什么,使用file命令,发现文件是png。下载题目附件,是一个压缩包,直接点击打开。将文件后缀改为png,打开发现flag。
DASCTF七月赛-web
Pr0m1se1n的博客
08-06 636
之前复现的了。。哎 Ezfileinclude 首页一张图片,看src就可以看出文件包含 验证了时间戳,参数t很容易能看出来 尝试用php://filter 伪协议读源码读不到,发现是用…/路径穿越 然后flag文件后缀不是是.php .txt .jpg什么的,就是flag!!! 直接来大师傅的脚本 import time import requests import base64 time = time.time() #获取时间戳(默认浮点型) t = int(time) #获取整型时间戳 pri
网络渗透实验四 CTF实践
qq_40525803的博客
12-05 578
网络渗透实验四 CTF实践 实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取等相关工具的使用。 系统环境:Kali Linux 2、WebDeveloper靶机来源:https://www.vulnhub.com/ 实验工具:不限 实验原理: 1、什么是CTF CTF(Capture The Flag)中文一般译
CTF—wireshark之文件还原
weixin_52620919的博客
07-30 2630
简介: 本示例主要介绍了wireshark文件还原技术,通过本实验的学习,你能够了解wireshark的使用方法, 能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。 【Wireshark】 Wireshark从功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。 题目 黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。 无意之中,他发现有人在某个网站上上传了一份
CTF-OS怎么在github上下载镜像文件
05-12
CTF-OS是一个基于Linux的操作系统,它的代码托管在GitHub上,你可以通过以下步骤下载镜像文件: 1. 首先,访问CTF-OS的GitHub仓库:https://github.com/ctf-wiki/ctf-os-2 2. 在页面中找到“Releases”选项卡,并点击进入。 3. 在“Releases”页面中,找到最新版本的CTF-OS发布,并点击进入。 4. 在该版本的页面中,你会看到下载链接,下载相应平台的镜像文件即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值