西湖论剑2021 MISC部分(LSB,取证)

最新推荐文章于 2023-02-28 20:15:05 发布
最新推荐文章于 2023-02-28 20:15:05 发布
阅读量766 收藏 4
点赞数 1
分类专栏: Misc 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47168481/article/details/121592486
版权

YUSA的小秘密(LSB改编隐写)

  • 使用stegsolve打开图片往下翻可以找到部分看不清的flag

在这里插入图片描述

  • 根据题目提示,LSB不止RGB,还存在YUV,和上次Bytectf一个题目类似
    Hardcore Watermark
    在这里插入图片描述然后利用上次比赛的脚本转换一下
from cv2 import *
img = cv2.imread('yusa.png')
cv_color = cv2.cvtColor(img, cv2.COLOR_BGR2YCrCb)
cv2.imwrite('flag.png', cv_color)

拿转换后的图片换一下通道:
在这里插入图片描述简单辨别一下拿到flag

Yusa的秘密(恶心的取证)

这一题写的时候让人很难受,有5个彩蛋,把人搞得迷迷糊糊的
彩蛋就不写了:可以去看下大佬们的博客

进入主题:
题目附件给了一个内存镜像,一个who_i_am的未知文件

先来看未知附件,附件中的who_i_am指得应该就是yusa了

之前手贱不小心删掉了mimikatz,赛后才重新加上去,直接解密:
得到密码:YusaYusa520
在这里插入图片描述可以解开附件,但是还不知道那是什么文件,先放着
在这里插入图片描述

这边想看一下mimikztz的安装过程,可以看我的另外一篇博客:
两种破解内存镜像密码的方法

查看一下相关程序进程:

vol.py -f Yusa-PC.raw --profile=Win7SP1x64 psscan

在这里插入图片描述看到两个特别的程序进程,后面肯定用得上
wab.exe: 是Windows操作系统自带的程序,用于储存地址薄、联系人和Email地址。用以支持类似Outlook之类的程序

StikyNot.exe : Windows便签程序

  • 做取证的题目不知道从哪下手的时候,就可以先试着找各种类型的文件:

vol.py -f Yusa-PC.raw --profile=Win7SP1x64 filescan |grep -E
‘png|jpg|gif|zip|rar|7z|pdf|txt|doc’

在这里插入图片描述可以看到很可疑的key.zip,导出来看看
发现需要密码,而在前面拿到开机密码这次就没用了

去看看可疑进程:

  1. 科普一下.snt文件:

在这里插入图片描述而.snt文件需要在Sticky Notes中打开

  1. StikyNot.exe先导出来然后复制到win7虚拟机里面去

找到路径,路径基本都是一样的,可能就是用户名不一样,没有这个文件夹的话可以先写一个便签,然后保存下,就可以发现,我的是:

C:\Users\Administrator\AppData\Roaming\Microsoft\Sticky Notes

  1. 然后把我们拿到到可以进程修改一下名字覆盖原文件,然后点击便签即可看到密码

在这里插入图片描述

这边最好用的是在win7中打开,win10的话大佬是说可以,但是我没有搞成功,拿到中文密码:世界没了心跳
在这里插入图片描述可以看到exp文件在里面:

from PIL import Image
import struct
pic = Image.open('key.bmp')
fp = open('flag', 'rb')
fs = open('Who_am_I', 'wb')

a, b = pic.size
list1 = []
for y in range(b):
    for x in range(a):
        pixel = pic.getpixel((x, y))
        list1.extend([pixel[1], pixel[0], pixel[2], pixel[2], pixel[1], pixel[0]])

data = fp.read()
for i in range(0, len(data)):
    fs.write(struct.pack('B', data[i] ^ list1[i % a*b*6]))
fp.close()
fs.close()
  • 现在就是差一个key.bmp文件,简单的filescan找不到

这里又有一个思路:可以尝试搜索桌面文件看看:

vol.py -f Yusa-PC.raw --profile=Win7SP1x64 filescan | grep “Desktop”

在这里插入图片描述看到可疑的文件名:Sakura*,导出来没发现什么特别的
搜索看一下:
在这里插入图片描述看到Sakura-didi文件之前没有见到过,导出来看看发现也是一个zip文件,同样由需要密码
再看看之前的可疑进程还差一个没用:wab.exe,而与其相关联的用户联系文件是:.contact
搜一下看:

vol.py -f Yusa-PC.raw --profile=Win7SP1x64 filescan | grep “.contact”
在这里插入图片描述

第一个文件导出来没发现什么,导出第二个打开发现一段xml文档,复制里面的编码:

LF2XGYPPXSGOPO4E465YPZMITLSYRGXGWS7OJOEL42O2LZFYQDSLRKXEXO56LCVB566IZ2FPW7S37K7HQK46LLUM42EJB354RTSL3IHFR6VONHEJ4S4ITZNEVHTJPNXJS62OHAECGZGCWWRVOBUXMNKMGJTTKTDZME2TKU3PGVMWS5ZVGVYUKYJSKY2TON3ZJU2VSK3WGVGHK3BVGVJW6NLBGZCDK33NKQ2WE6KBGU3XKRJVG52UQNJXOVNDKTBSM42TK4KFGVRGK3BVLFLTGNBUINBTKYTFNQ2VSVZTGVNEOOJVLJBU4NKMGZSDKNCXNY2UY4KHGVGHSZZVG52WMNSLMVCTKWLJLI2DIQ2DMEZFMNJXG54WCT2EJF3VSV2NGVGW2SJVLJVFKNCNKRIXSWLNJJUVS6SJGNMTERLZJ5KFM3KNK5HG2TSEM46Q====

base系列一个个尝试,先是base32,然后base64:
在这里插入图片描述在这里插入图片描述最后拿到:

这是你会用到的key,可以用它打开组织给你的工具。工具命名依照了传统规则。key:820ac92b9f58142bbbc27ca295f1cf48

成功解开拿到key.bmp

  • 最后就是根据给的exp反写一下代码:也就是改一下Who_am_I和flag的位置,最后拿到一个gif图,在第十帧可以看到flag
from PIL import Image
import struct
pic = Image.open ( 'key.bmp')
fp = open ( 'Who_am_I' , 'rb' )
fs = open ( 'flag','wb' )

a, b = pic.size
list1 =[]
for y in range (b) :
   for x in range (a) :
       pixel = pic.getpixel ( (x, y))
       list1.extend( [pixel[1],pixel[0],pixel[2], pixel[2],pixel[1],pixel[0]])

data = fp.read ()
for i in range (0,len (data) ) :
   fs.write(struct.pack ('B',data[i] ^ list1[i % a*b*6] ))
fp.close ()
fs.close ()

在这里插入图片描述
总结一下:

  • LSB题找到了另外一种信号通道方式:YUV

  • 对于取证这一题,思路总结:
    得到yusa的登陆密码解开Who_am_I
    两个可疑进程

    1.wab.exe对应的是 .contact文件: 是Windows操作系统自带的程序,用于储存地址薄、联系人和Email地址。用以支持类似Outlook之类的程序
    2.StikyNot.exe对应的是.snt文件 : Windows便签程序

  • 基本搜索方法找到key.zip利用.snt打开的便签信息解密得到exp
    通过搜索Desktop找到可疑Sakura-didi压缩文件,再利用.contact文件中的密码解密

  • 最后修改一下exp拿到flag

YnG_t0
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Misc之图片隐写术(LSB
XiaoXuM_LXM的博客
10-09 3556
题目描述 题目提供了一张png图片,提示使用LSB方法。 题解 图片隐写术的方法之一就是:利用修改数据的方式来隐藏自己传递的信息。 一种常见的方式是利用最低有效位(Least Significant Bit,LSB)来进行隐写。“原理就是图片中的像数一般是由三种颜色组成,即三原色,由这三种原色可以组成其他各种颜色,例如在PNG图片的储存中,每个颜色会有8bit,LSB隐写就是修改了像数中的...
西湖论剑2021杂项(misc)--YUSA的小秘密
BING
11-22 2879
西湖论剑2021杂项(misc)–YUSA的小秘密 题目描述:LSB,但又不是LSB,众所周知不止RGB。yusa,我的yusa,嘿嘿 解答: 打开压缩包是一个很可爱小姐姐哟 根据题目描述是LSB,但又不是LSB,于是放到stegsolve 工具链接 :CTF工具stegsolve隐写分析(misc) 使用这个工具下red 0号和green 0号通道所找到的flag都不完整。 这里看了大佬的writeup,才知道颜色反转,利用python中cv2库脚本即可得到含有清楚的flag图片。 from cv2 i
2021西湖论剑misc——Yusa的小秘密
CNS-Enterprise BCC-1701-J
11-23 3871
下载附件得到小姐姐的图片 Stegsolve看一下,G0和R0通道发现疑似flag的字符串 将图片颜色空间变为YCbCr,再反转颜色,即可在R0发现完整flag DASCTF{2947b683036d49e5681f83f7bc3fbb34} 大佬用python轻而易举就能搞出来,我不会。。。 搞了个java版,奉上代码 import java.io.File; import java.io.FileInputStream; import javax.imageio.ImageIO; /**
MISC - LSB
zh_cn1的博客
12-07 140
准备 stegsolve LSB red green blue 0通道合成一张图片,生成二维码图片 扫描二维码获取flag
BUUCTF,MiscLSB
Pai_Space
02-12 386
提示 LSB save bin
ISCC2021-MISC部分题目.zip
08-07
ISCC2021-MISC部分题目.zip
LitCTF(MISC部分
05-14
Litctf赛后wp(misc部分
Stegsolve,常见使用与CTF中的Misc类型图片隐写题目,需要java环境才能运行
07-25
Stegsolve,常见使用与CTF中的Misc类型图片隐写题目,需要java环境才能运行
misc1.pcapng解析.docx
01-13
数据分析取证;流量分析
npiet-1.3a-win32.rar misc
02-08
Piet一种奇葩编程语言 里面有用法 ...Piet是由DavidMorgan-Mar设计,其方案是位图,看起来像抽象艺术设计。编译指导图像周围移动,从一个连续颜色的区域下的一个“指针”。通过一个地区的指针退出时的程序进行。...
CTF-Misc-LSB
归子莫的博客
05-15 4416
CTF-Misc-LSB 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Misc类,LSB 思路 LSB(Least Significant Bit),意为最低有效位;MSB(Most Significant Bit),意为最高有效位。通常,MSB位于二进制数的最左侧,LSB位于二进制数的最右侧。若MSB=1,则
MISC入门题型(二)--CRC校验&LSB隐写
weixin_52351575的博客
10-01 2341
misc其实是英文miscellaneous的前四个字母,杂项、混合体、大杂烩的意思。MISC(移动信息服务中心Mobile Information Service Center),是卓望集团为了梦网计划的顺利实施为移动运营商潜心研发的首个技术支撑平台。她实现了开放价值链“服务提供商—〉网络运营商—〉用户”商业模式的有效支撑与业务管理,涉及SP管理、服务管理、用户管理、订购管理、计费管理、统计分析等运营的诸多领域。是运营商在新的网络环境下为客户提供数据业务服务的核心管理平台。
西湖论剑2022部分misc
wha1e的博客
02-03 1069
西湖论剑部分misc
LSB 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-28 440
buu-LSB题解
西湖论剑2021中国杭州网络安全技能大赛部分Writeup
末初的CSDN博客
11-21 9611
文章目录MISC真签到YUSA的小秘密Yusa的秘密WEB灏妹的web MISC 真签到 DASCTF{welc0m3_t0_9C51s_2021} YUSA的小秘密 使用Stegsolve打开调整通道可以发现藏有flag;但是被干扰倒是无法看清 搜索引擎查阅资料发现题目这里指的是一种叫YCrCb颜色编码模型 参考[ByteCTF2020]Hardcore Watermark 01:https://bytectf.feishu.cn/docs/doccnqzpGCWH1hkDf5ljGdjOJY
浅谈LSB隐写解题与出题
蚁景网安学院
01-25 4375
点击"蓝字"关注,获取更多技术内容!前言:LSB隐写在CTF中属于出现得比较多的类型。这篇文章对LSB隐写的原理,解题方法,出题脚本,以及LSB隐写特性进行研究。LSB隐写原理LSB即为最...
Bytesctf2021 frequently详解
Demodd的博客
10-22 4203
frequently 先看的tcp的流,没发现什么东西,然后开始看UDP,在UDP的第一个流发现 得到 se1f_wIth_m1sc^_^} 然后一直往后看,在第68个流发现png的base64加密后的数据 base64解密一下发现 继续往后看发现多个一样的数据,传输图片无疑了。 当时解题时候直接依据这个提取了这部分数据,包括重复的包还有多的包等等(体现了对过滤语句的不熟练) 通过观察可以发现这部分数据的源地址和目的地址都是相同的可以先通过这个过滤 ip.src==10.2.173.238 and
2021-10-09 CTF-KX(第一场)-lsb
matthewfjnd的博客
10-09 2423
1、先丢入binwalk中分析有没有隐藏文件 发现存在zip文件,进一步分解 进入分解的目录中查看分解出了什么文件,发现有flag文件,将他复制出来进一步分析 用010editor打开flag文件,发现文件尾是GNP,显然是PNG文件头的逆序 编写脚本,将图片逆序 with open('flag','rb') as f1, open('flag.png','wb') as f2: f2.write(f1.read()[::-1]) 得到一张PNG图片 又是图片,进一步分析是否又隐藏文件.
MSB与LSB
weixin_34365417的博客
09-25 3532
Most Significant Bit, Last(Least) Significant Bit 最高有效位(MSB) 指二进制中最高值的比特。在16比特的数字音频中,其第1个比特便对16bit的字的数值有最大的影响。例如,在十进制的15,389这一数字中,相当于万数那1行(1)的数字便对数值的影响最大。比较与之相反的“最低有效位”(LSB)。MSB高位前导,LSB低位前导。 谈到字节序...
misc.c misc.h
最新发布
05-22
`misc.c`和`misc.h`是通常用于存储各种杂项函数和变量的文件。 在C语言中,通常将一些无法归类到其他文件中的函数或变量放在一个名为`misc`的文件中,以便更好地组织代码并使其更易于维护。这些函数和变量可能包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YnG_t0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值