文章讲述了在不同CTF比赛中的解题策略,涉及隐写工具SSTV的使用,Base32编码解码,文件的异或操作用于数据恢复,以及针对微信缓存文件的处理方法,强调了在解题过程中分析文件类型和使用专业工具的重要性。
文章目录
[QCTF2018]Noise
使用各种隐写工具发现都无用后,结合题目名字,在网抑云下载了一下原曲diff了一下,使用AU反相,发现了SSTV(不得不说这玩意最近看到都快吐了),直接解出。
flag{Th4t_1s_v3ry_Har5h}
陇原战“疫“2021soEasyCheckin
打开文档发现为base32,却发现后半部分解码有点问题
发现原来中间有一个$
这里换成千千秀字在线解密网站就行了。
前半部分为社会主义核心价值观编码
删掉最后面的和谐,获取前半部分flagSET{Qi2Xin1Xie2Li4-Long3Yuan
后半部分转换还是乱码,删除前面的6988e后出现明文
得到后半部分flagZhan4Yi4}
提交错误,回头发现每一个拼音后面都有数字表示声调,联想删掉的和谐、$和6988e,$应该是base32中的一个字符串被替换掉了,可以和后半段的16进制数再组成字符串,但是没有关系,根据前面的规律可知少的是2,solved。
SET{Qi2Xin1Xie2Li4-Long3Yuan2Zhan4Yi4}
[ACTF新生赛2020]music
这题有点意思,学到了010editor可以直接进行文件异或
tools->hex operations ->binary xor
然后直接写需要异或的值以及异或范围即可
[RoarCTF2019]forensic
这题已经没有环境做了,但是在搜索wp学习的过程中又拓宽了一个思路。即dumpit生成的镜像可以搜索其生成的raw文件,然后foremost分离出其配置文件。
[GUET-CTF2019]520的暗示
这里看到很多师傅有一个疑问就是为什么要和0x33异或,因为dat后缀名文件为微信缓存文件,而微信的缓存文件是与一个特定的字符进行异或保存的。
然后并不能确定该文件具体是什么文件的缓存,所以就利用常见的几种文件头进行异或验证。如png,zip,rar,以及最后验证正确的文件jpg。这里根据文件名也能大致猜到是图片缓存。
具体验证如下:
jpg文件的文件头为FFD8,众所周知A xor B =C,则A xor C = B。
所以利用文件头 CC与FF进行异或,得到33,即B =33
再利用这个33与D8或者EB进行验证,如果能得到对应的值即成立
到这里就能确定该文件异或的key就是33,这里用010进行批量异或还原图片即可,具体使用方法在上文这里就不再赘述。
扫一扫
1742
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
