MISC
菜刀666
在tcp的第7个流里面发现传输了一张图片
foremost分离出来一个带有密码的压缩包,把图片给提取出来,得到密码
解压得到flag
[UTCTF2020]basic-forensics
给了一个jpeg,但其实不是,修改为txt,直接全局搜索flag
就看到了flag
荷兰宽带数据泄露
使用routerpassview
工具查看路由器配置文件里面存的的用户名即可,flag即为用户名
webshell后门
D盾扫一下,发现后门文件
然后搜索pass就可以看得到密码,也就是flag了
Mysterious
一个简单的逆向题,先定位到flag的地方,进行一个分析
然后咱们输入122xyz
就可以得到flag了
蜘蛛侠呀
一顿分析无果,先列出流量包的隐藏文件
tshark -r out.pcap -T fields -e data > 1.txt
发现导出的文件里面,每四行都是重复的,于是去掉重复行,脚本如下
f1 = open('1.txt','r').readlines()
f2 = open('2.txt','a')
for i in range(len(f1)):
if f1[i].strip() == f1[i-1].strip():
continue
f2.write(f1[i].strip() + '\n')
然后再把每行的16进制转字符
f1 = open("2.txt",'r').readlines()
f2 = open("3.txt","w")
for line in f1:
newline = ''
for i in range(len(line)//2):
byte = line[i*2:i*2+2]
num = int(byte,16)
character = chr(num)
newline += character
f2.writelines(newline)
f2.close()
但是前面出现了一堆奇怪的字符
直接给他全部替换成空,然后使用notepad++插件转进行base64解码,保存为zip,存在一个flag.gif,然后就是时间隐写了,查看gif每一帧停留的秒数,分别替换成01,然后在8个一组转字符
identify -format "%T" flag.gif
得到
2050502050502050205020202050202020205050205020502050205050505050202050502020205020505050205020206666
最后面的四个6不用管
01101101 01000100 00110101 01011111 00110001 01110100
最后转换成字符,得到
mD5_1t
把其进行md5加密得到的就是flag了
[GWCTF2019]huyao
一看就知道是盲水印了,不过这个用的是老版本的盲水印,flag{BWM_1s_c00l}
python2 decode.py --original 2.png --image 1.png --result res1.png
[湖南省赛2019]Findme
一共给了5张图片,第一张的宽高有问题,用脚本修复一下
import zlib
import struct
filename = '1.png'
with open(filename, 'rb') as f:
all_b = f.read()
crc32key = int(all_b[29:33].hex(),16)
data = bytearray(all_b[12:29])
n = 4095
for w in range(n):
width = bytearray(struct.pack('>i', w))
for h in range(n):
height = bytearray(struct.pack('>i', h))
for x in range(4):
data[x+4] = width[x]
data[x+8] = height[x]
crc32result = zlib.crc32(data)
if crc32result == crc32key:
print("width:",end="")
print(width)
print("height:",end="")
print(height)
得到结果
width:bytearray(b'\x00\x00\x00\xe3')
height:bytearray(b'\x00\x00\x01\xc5')
修改打开之后,是这样的
丢进010分析,发现图片缺少chunk[2]、chunk[3]的IDAT
标识:49 44 41 54
那我们给他加上去,修复就好了
修复完毕
终于是修复好啦~
然后下一步就是找信息了,这里一共有5张图片,所以应该是有五段信息或者是什么连在一起的东西,先从第一张看起。
在某个通道里面发现了一张二维码
扫码得到ZmxhZ3s0X3
,很熟悉的一个flag头,后面就是去找接下来的四段了
第二张图片的尾部发现了7z的压缩包
将其手动分离出来,但是解压出了问题,再来细看一下,发现原来是PK被换成了7z,那我们再给换回去
成功解压,有一大堆的文件,我们直接按照修改日期排序,找到了618.txt
这个藏有内容的文件
You find it: 1RVcmVfc
然后来看第三张图片
chunk[0]-chunk[6]的每一个数据块的crc值都是可打印的ascii字符
提取出来输出为ascii码也就是3RlZ30=
然后来看第四张图片,在文件末尾发现内容cExlX1BsY
其实也就是图片的EXIF信息,可以在这个网站上面看得到
第五张图片也简单了,就在文件末尾Yzcllfc0lN
最后得到的结果按照顺序来,也就是这样子
ZmxhZ3s0X3
1RVcmVfc
3RlZ30=
cExlX1BsY
Yzcllfc0lN
最后稍微排列组合一下得到最后的结果
ZmxhZ3s0X3Yzcllfc0lNcExlX1BsY1RVcmVfc3RlZ30=
进行base64解码得到flag
flag{4_v3rY_sIMpLe_PlcTUre_steg}
[UTCTF2020]zero
开始还以为是词频分析,但是脚本跑了保存,里面存在一些特殊字符,百度知道这个是叫做零宽度字符加密
,在线分析网址。
关于这个网站的用法
我们直接复制字符是不行的,得现在这个地方上传一下,然后点击下方的
再把下载了的这个文件内容复制到上方进行解密,按照步骤来即可
我爱linux
修改一下文件头,png->jpg,而且发现在文件末尾,多出了一大段的数据
提取出来,但是看不懂,搜了下发现图片内容是《巨蟒与飞行马戏团》的图片,而py也是由于这个来的,猜测是pickle的序列化之后的数据,逆回去看看
import pickle
f1 = open('1.txt','rb')
f2 = open('2.txt','a')
f2.write(str(pickle.load(f1)))
f1.close()
f2.close()
得到一大串元组坐标
可以发现,元组的第一个元素是位置,第二个元素是字符,于是画一下,脚本如下
import pickle
with open('1.txt', 'rb') as f:
data = pickle.load(f)
new_data = list()
for i in range(len(data)):
tmp = [' ']*100
new_data.append(tmp)
for i,d in enumerate(data):
for m in d:
new_data[i][m[0]] = m[1]
for i in new_data:
print(''.join(i))
得到flag
这个其实也就是通过linux下面的toilet
命令输出的
[ACTF新生赛2020]剑龙
先把js解密,得到welcom3!
得到
想要flag吗?解出我的密文吧~
U2FsdGVkX1/7KeHVl5984OsGUVSanPfPednHpK9lKvp0kdrxO4Tj/Q==
一看就知道是DES了,现在去找密码,然后在图片的详细信息里面发现了密码@#$%^&%%$)
解密得到think about stegosaurus
,在github上面找到对应的东西,网址。
跑一下得到flag,注意需要使用python36