马老师与老八
用到的知识
<1>AES(没有考虑周全本想着会有唯一密文)
<2>培根密码
<3>虚晃一枪,gif分离再次镜像得到的只是提示
<4>用强大的命令行和工具修复磁盘
详解
(1)下载后得到三个文件
在2.jpg中查看属性
这里非常的拉胯,原本想得到唯一密文,欠考虑了所以直接给了密码
E1Q+zs7eWNSB/C25ocZESDARrmtBxavcOJFaBfNZowU=
把当大师的心得分离后,会得到一个压缩包,用上述密码打开。
(2)打开后得到一个图片一个压缩包,压缩包还是有密码
仔细观察图片名称猜测为培根密码,把图放入010中观察,再结尾处发现
在后面得到abbaaaaaaaababbaaaaaabbbabaabaaabbbabaaaaaabaaaaaaabaaabaabaaabbbabaaaaaabbaaaaabaabaaabbbabaaa 用培根解密得到密码malaoshicaishidashi
(3)打开压缩包后又看到两个文件夹一个是hhh一个是马老师的闪电鞭
感觉问题在马老师的闪电鞭上,用foremost分离后得到新的gif,逐帧分离后得到了建议使用Stegsolve分离得到完整图片,用在线分离网站可能导致图片不完全,不能拿到正确的提示
拼接后镜像翻转的到
啊哈哈但这并不是flag ,看名称修复颠倒的磁盘,那就只剩下老八的嘲讽中的了。
把hhh放入kali中先binwalk一下
什么也看不出,想想提示,颠倒的,很可能文件的16进制全部颠倒,这里介绍两种方法来对颠倒的文件进行内容反转处理
<1>查看大佬的python2脚本
import sys
def swap_nibbles(byte):
return ((byte<<4) | (byte>>4)) & 0xff
i=open(sys.argv[1], 'rb')
o=open(sys.argv[1] + '.rev', 'wb')
o.write(''.join(map(chr, map(swap_nibbles, map(ord, i.read()[::-1])))))
i.close()
o.close()
<2>使用强大的命令行
xxd -p hhh | tr -d '\n' | rev | xxd -r -p > fff
关于xxd命令的详细请查看链接: (https://www.cnblogs.com/gavanwanggw/p/7073581.html)
反转后再次使用binwalk查看fff
发现是个磁盘,再使用工具extundelete进行修复
最后给flag加权限运行,运行后得到flag
这里贴上大佬使用的’‘外科手术刀’'scalpel进行修复
我们用大佬写的scalpel的config 文件执行(我自己尝试未成功)
#scalpel.conf
elf y 1000000 \x7F\x45\x4C\x46
```javascript
$ scalpel -c scalpel.conf disk-image
[...]
$ tree scalpel-output
scalpel-output/
├── audit.txt
└── elf-0-0
└── 00000000.elf
1 directory, 2 files
贴上关于scaple的文献链接(1)https://github.com/sleuthkit/scalpel
(2)https://fossies.org/linux/scalpel/scalpel.conf
(3)https://www.tecmint.com/install-scalpel-a-filesystem-recovery-tool-to-recover-deleted-filesfolders-in-linux/
(4)https://www.mankier.com/1/scalpel
总结:很失败