这题完全是看着官方wp复现的,感觉涉及的步骤比较多但每一步本身不难,多记录一遍加深印象。
一、原题
原题给的是一个叫myheart.zip的文件,但尝试解压会发现其实是一个word文档,然后去把zip的后缀名改成doc或docx,我试了一下都能打开,这里以doc的截图为例吧。
二、解题步骤
可以看到当前是一个叫Wingdings 3的字体,去尝试修改成任意一个其他字体,会发现原本看不懂的符号显示成了Twinkle twinkle little star,how I wonder what you are
根据之前做题的经验,遇到word文档可以尝试分离压缩包,这里又学到了可以先用010看一看是不是还有压缩包,搜索一下“Rar”,果然有(当然了这里用strings看一下再搜索也是一样的……),还可以继续用010分离出压缩包,不过我010用的不太熟练,所以还是去kali下用binwalk分离压缩包了。
分离出的压缩包2938.rar是有用的,可以看到里面有一个jpg图片和一个未知类型的数据文件,但是压缩包有密码,联想到刚才的Twinkle twinkle little star,how I wonder what you are的简谱是11556654433221,就是解压密码。(啊这……好难,好难
解压成功后,用010打开数据文件和jpg文件,观察一下,会发现图片里还有东西,而数据文件是缺少文件头的rar压缩包(缺少头部的压缩包这个我也不知道咋看出来的QAQ
对jpg图片的处理
先说图片吧,用010能看到图片后面还有填充内容,而且这里可以看到是FFD9(jpg文件尾)后面又跟着FFD8FF(jpg文件头),也就是说是在jpg图片后面又填充了一个jpg图片!直接把FFD8FF开头的这段内容选中后复制下来,再在010新建一个文件粘贴进去,具体操作可以是在新建文件的空白处右键选择Paste,然后点一下右上角的HEX就看着舒服了。
选中内容后复制:
新建一个空白文件,粘贴内容,以Hex显示:
保存成jpg放到桌面:
保存完桌面上就有这张图了,图上的winkwink~后面会用到(后来发现这图挂了,拜托出题的师傅们能不能找点可爱一点的图片来出题哇,别弄一些怪怪的图片……(小声)
对文件名是❤的数据文件的处理
下面要开始讲解010的操作咯~
我之前就不会在文件前面的位置插入内容,然后现在摸索出来啦O(∩_∩)O
先把光标移动到要插入的位置前,点击上方菜单栏的Edit,选择Insert/Overwrite,选择Insert Bytes…
在弹出的窗口中把size写成4,即4个字节,也就是8个16进制位。
这样前面就多了四组00,修改成rar文件头52617221即可
改好后保存,再去加上.rar后缀
尝试解压rar,有密码,**解压密码就是之前图片上的winkwink~**解压后得到一个txt
base100解码
用工具网站:http://www.atoolbox.net/Tool.php?Id=936
解码base100即可得到flag: ctfshow{Wa0_wa_Congr@tulations~}