MISC常规解题步骤(图片)
1.解压zip文件,用winhex打开图片 2.判断文件格式是否篡改,检查png的文件头和文件尾,文件格式正常 PNG文件头(hex):89 50 4e 47 0d 0a 1a 0a PNG文件尾(hex): 00 00 00 00 49 45 4E 44 AE 42 60 82 3.判断否有文件二进制合并,搜索png文件头8950,发现只有一个,未使用二进制合并文件 4.判断是否修改png图片宽高,使用TweakPNG
Misc8
使用winhex打开查看,搜索ctf无果,用binwalk看看
发现里面有两张png图片,使用foremost分离
在默认的outfile文件夹中会存有分离出来的两张照片
其中右边就是正确的flag
Misc9
直接放010editor里面搜ctfshow
Misc10
放到binwalk里看一下
发现里面存在隐藏的压缩文件,其中的10E5文件打开就是flag
Misc11
使用tweakpng打开,长宽正常,但第一个IDAT块小于第二个IDAT块的长度,这意味着在第一个数据块还没铺满时第二个数据块就开始铺了,人为改动的痕迹明显。
正常该有的样子
点击第一个IDAT块,选择delete,然后按f7预览修改之后的图片,得到flag
Misc12
还是使用tweakpng打开,发现这样的情况
IDAT块并没有均匀地逐块铺满,人为改动痕迹明显
按f7键打开图片预览窗口,从第二个开始逐块删除IDAT块,直到出现flag
(删除过程中)
出现flag
Misc13
打开010editor查看图片,在结尾处发现了一串很奇怪的东西,看着像flag又不完全是
仔细观察可以发现在正常的flag格式ctfshow{xxx}基础上给每个字符中间加了一个字符,这里简单写一下脚本得到正确的flag
这里得到的flag是ctfshow{ae6e46c48f739b7eb2d1de6e412f839a}
但是尝试输入之后发现是错误的,之后去找网上正确的解答,发现不应该去解ASCLL码,而是要拿左边的十六进制数去解,每隔一个十六进制数取一个,取左边的蓝色部分
正确脚本:
a="631A74B96685738668AA6F4B77B07B216114655336A5655433346578612534DD38EF66AB35103195381F628237BA6545347C3254647E373A64E465F136FA66F5341E3107321D665438F1333239E9616C7D" r = '' s=bytes.fromhex(a) for i in range(0,len(s),2): r+=chr(s[i]) print(r) #fromhex函数把一串16进制字符,每两位转换成16进制的对象
最后得到的flag是:ctfshow{ae6e3ea48f518b7e42d7de6f412f839a}
Misc14
放到binwalk里看一下,发现里面有隐藏的文件
然后使用dd命令提取出其中的图片(if是输入文件名称,of是输出文件名称,skip是偏移量,就是你要提取的文件的最前面的数字,bs=1)
然后就得到flag
Misc15
用010打开图片,刷的一下就找到了
Misc16
用binwalk查看一下文件,直接分离出来一个文件夹,其中dd4就是flag
Misc17
用binwalk看了一下图片,发现有一个压缩包,但是打不开
这里需要使用zsteg(一个比StegSolve更方便的工具—zsteg_不咸还不鱼的博客-CSDN博客_zsteg安装,可以参考这个)分析,发现有隐藏信息
所以我们先使用zsteg命令把隐藏信息分离出来,再用binwalk提权得到flag
Misc18
题目给的提示,很明显,flag藏在属性里
直接把四个部分合起来就行,这应该算最简单的图片题了
Misc19
联想到图片的exif信息,EXIF是专门为数码相机的照片设定的,可以记录数码照片的属性信息和拍摄数据。主机和文档名都属于exif信息的一部分,这里使用图虫的exif信息查看器,直接将图片导入,找到主机和文档名记录的flag
Misc20
与上一题一样,flag都是藏在EXIF信息中,做法同上,得到flag,只不过需要自己转化一下
数字都是使用中文数字代替,英文字母则是用汉字代替,需要注意一下,别翻错了。
ctfshow{c97964b1aecf06e1d79c21ddad593e42}
Misc21
2549
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
