原博主链接:https://davidcheyenneone.github.io/Misc/BUUCTF/BUUCTF Misc 1(1-20).html
1、签到题
由题目直接获得flag
2、
下载文件,得到一份GIF文件,首先猜测flag是否藏在某些帧中
用GIFFrame查看帧,发现第20、50、78帧藏有flag
3、二维码
打开文件得到一张二维码,尝试用在线二维码解码解密,得到secret is here,但这并不是flag。
于是尝试用foremost分离文件得到一个压缩包,压缩包有一个加密文本文件,提示是4位纯数字密码,用ARCHOR破解密码,打开文件即可得到flag。
4、你竟然赶我走
首先尝试文件分离发现没有其他文件,于是尝试用十六进制编辑器查看,在文件尾得到flag
5、N种方法解决
发现是一个exe文件,尝试运行,无法打开,于是将后缀改为txt查看文本,发现似乎是一个图片网址,拖入浏览器查看,得到一个二维码图片,解密即可。
6、大白
看到图片以及题目提示我们易知,是图片长度问题
于是使用十六进制编辑器查看修改高度即可得到flag。
第二行:
0-3列为宽:00 00 01 F4为十六进制,十进制为500
4-7列为长:00 00 01 A4为十六进制,十进制为420。
即图片规格为500×420。
7、基础破解
题目提示压缩包为4位数字加密,用ARCHPR暴力破解得到密码,打开文本,得到base64,解密即可得到flag
8、乌镇峰会种图
首先查看文件大小,排除有隐藏文件。于是用十六进制查看器打开图片。
查找flag字段即可得到flag
9、LSB
由题目得到提示,首先打开Stegsolve查看图片
进行数据抽取得到一个二维码,解密即可得到flag
数据抽取:
1)RGB是红绿蓝,他们的值实际代表亮度,数字越大亮度越高。
亮度一共有256个级别,从0到255,因为2^8=256,因此一共有8个通道。
2)Alpha是透明度,该通道用256级灰度来记录图像中的透明度信息,定义透明、不透明和半透明区域(alpha的值为0就是全透明,alpha 的值为 255 则表示不透明)
3)Extra By(额外的):分为row(行)和column(纵)
每个像素用R,G,B三个分量表示,那么一张图片就像一个矩阵,矩阵的每个单位就是(0255,0255,0~255)
也就会有是纵排列和行排列了,一般事先访问行再访问列
4)Bit Order(位顺序):
MSB是一串数据的最高位,LSB是一串数据的最低位。
5)Bit Plane Order(位平面的顺序)
整个图像分解为8个位平面,从LSB(最低有效位0)到MSB(最高有效位7)随着从位平面0 到位平面7,位平面图像的特征逐渐变得复杂,细节不断增加。
一般图片是24位,也就是3个8 ,可以看成三明治,比如BGR就是B为三明治第一层 G为第二层 R为第三层。
转载于:http://www.cnblogs.com/cat47/p/11483478.html
10、文件中的秘密
提示文件中的秘密于是首先点开属性查看图片的详细信息,即可得到flag
11、wireshark
用wireshark打开文件,根据题目提示查找pass字段,即可得到flag
12、rar
由提示该压缩包为纯四位数密码,先解密得到密码,打开文件即可得到flag
13、zip伪加密
一般伪加密在文件头的加密标志位做修改,进而再打开文件时识被别为加密压缩包。 一般来说,文件各个区域开头就是50 4B,然后后面两个字节是版本,再后面两个就是判断是否有加密的关键了。
原理:
https://blog.csdn.net/qq_26187985/article/details/83654197
zip文件由三部分组成:压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志
压缩文件数据区:
50 4B 03 04:头文件标记(0x04034b50)
14 00:解压文件所需 pkware 版本
01 00:全局方式位标记(有无加密) 头文件标记后2bytes
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
00 00:扩展记录长度
压缩文件目录区:
50 4B 01 02:目录中文件文件头标记(0x02014b50)
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本
09 00:全局方式位标记(有无加密,伪加密的关键,09 00打开就会提示有密码了) 目录文件标记后4bytes
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
24 00:扩展字段长度
00 00:文件注释长度
00 00:磁盘开始号
00 00:内部文件属性
20 00 00 00:外部文件属性
00 00 00 00:局部头部偏移量
压缩文件目录结束标志:
50 4B 05 06:目录结束标记
00 00:当前磁盘编号
00 00:目录区开始磁盘编号
01 00:本磁盘上纪录总数
01 00:目录区中纪录总数
59 00 00 00:目录区尺寸大小
3E 00 00 00:目录区对第一张磁盘的偏移量
00 00:ZIP 文件注释长度
修改压缩源文件目录区的全布局方式标记比特值之后即可对文件加密或解密
全局方式位标记的四个数字中只有第二个数字对其有影响,其它的不管为何值,都不影响它的加密属性!
第二个数字为奇数时 –>加密
第二个数字为偶数时 –>未加密
辨别当前的zip是真的加密还是伪加密?
无加密:
压缩源文件数据区的全局加密应当为 00 00(头文件标记后2bytes)
且压缩源文件目录区的全局方式标记应当为00 00 (目录文件标记后4bytes)
假加密:(数据区偶数:未加密,目录区奇数加密)
压缩源文件数据区的全局加密应当为 00 00
且压缩文件目录区的全局方式标记应当为 09 00
真加密:
压缩源文件数据区的全局加密应当为 09 00
且压缩源文件目录区的全局方式应当为 09 00
zip伪加密解决方法:
(原文链接:https://blog.csdn.net/pdsu161530247/article/details/73612910 )
1)使用 ZipCenOp.jar (需要java环境)
命令如下:
java -jar ZipCenOp.jar r xxx.zip
将压缩包和ZipCenOp放在同一目录下,用cmd执行命令即可,若success后,可直接打开压缩包
?:处理后压缩包要用winrar才能打开7-zip打开仍需要密码,不知道为什么会这样
2)修改文件头加密标志位
头文件标记后2bytes、目录文件标记后4bytes这两处(四位中的)第二位为偶数即可
针对此题:
我们使用winhex打开压缩包后,首先查找50 4B字段,可以得到该压缩包的三个部分:压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志。
在数据区头文件后的2个字节后可以看到全局加密为09 00,说明是加密的;
在目录区头文件标记后的4个字节后可以看到全局方式标记为09 00说明是加密的;
将全局方位标记处的9修改偶数即可
14、QR
15、被嗅探的流量
下载题目得到一个pcapng文件,用wireshark打开
先在分组字节流中查找flag字符串,发现flag
16、镜子里面的世界
下载得到一张图片提示到:Look very closely,于是猜想是不是LSB隐写,并且图片名为steg,于是先用zsteg检测图片里的隐写数据(png、bmp),得到flag。
17、ningen
法一:foremost提取
观察图片没有发现什么,题目提示有密码,于是尝试用foremost提取(猜测可能有压缩文件)。
提取后得到一个加密的压缩包,题目提示为4位的纯数字密码,爆破即可。
各文件的头尾总结
(原博客:https://blog.csdn.net/qq_29277155/article/details/98060616)
1.图片文件
JPEG (jpg/jpe/jpeg) 文件头:FFD8FF 文件尾:FF D9
PNG (png) 文件头:89504E47 文件尾:AE 42 60 82
GIF (gif) 文件头:47494638 文件尾:00 3B
TIFF (tif) 文件头:49492A00 文件尾:
Windows Bitmap (bmp) 文件头:424D 文件尾:
ico(ico) 文件头:00 00 01 00
Adobe Photoshop (psd) 文件头:38425053 文件尾:
2.office文件
MS Word/Excel (xls.or.doc) 文件头:D0CF11E0
MS Access (mdb) 文件头:5374616E64617264204A
WordPerfect (wpd) 文件头:FF575043
Adobe Acrobat (pdf) 文件头:255044462D312E
application/vnd.visio(vsd) 文件头:d0cf11e0a1b11ae1
Email [thorough only] (eml) 文件头:44656C69766572792D646174653A
Outlook Express (dbx) 文件头:CFAD12FEC5FD746F
Outlook (pst) 文件头:2142444E
Rich Text Format (rtf) 文件头:7B5C727466
txt 文件(txt) 文件头:Unicode:feff / Unicode big endian:fffe / UTF-8:efbbbf /ANSI编码是没有文件头的
3.压缩包文件
ZIP Archive (zip) 文件头:504B0304 文件尾:50 4B
RAR Archive (rar) 文件头:52617221
4.音频文件
Wave (wav) 文件头:57415645
audio(Audio) 文件头: 4D546864,
audio/x-aac(aac) 文件头:fff1 / fff9
5.视频文件
AVI (avi), 文件头:41564920
Real Audio (ram) 文件头:2E7261FD
Real Media (rm) 文件头:2E524D46
MPEG (mpg) 文件头:000001BA
MPEG (mpg) 文件头:000001B3
Quicktime (mov) 文件头:6D6F6F76
Windows Media (asf) 文件头:3026B2758E66CF11
MIDI (mid) 文件头:4D546864
6.代码文件
XML (xml) 文件头:3C3F786D6C 文件尾:
HTML (html) 文件头:68746D6C3E
Quicken (qdf) 文件头:AC9EBD8F
Windows Password (pwl) 文件头:E3828596
7.其他类型
windows证书文件(der) 文件头:30 82 03 C9
CAD (dwg) 文件头:41433130 文件尾:
Windows Shortcut (lnk) 文件头:4C000000
Windows reg (reg) 文件头:5245474544495434
法二:winhex
一个完整的 jpg 文件由 FF D8 开头,FF D9结尾,图片查看器会忽略 FF D9 以后的内容,因此可以在 jpg 文件中加入其他文件。
经过上面的分析,知道图片中隐藏了zip文件,zip文件的开头16进制为50 4B 03 04 ,先搜索16进制文本 FF D9,然后后面跟着50 4B 03 04,于是就可以从 50 开始,复制到最后(因为这里只有一个zip,所以复制到最后),另存为新文件,就得到了隐藏的压缩包。
分别为选块起始位置和选块尾部,点击编辑,导出文件(zip)即可。
18、小明的保险箱
下载得到jpg图片后先用foremost提取,得到加密压缩包。提示为四位纯数字密码,暴力破解,打开压缩包即可得到flag。
19、爱因斯坦
拿到图片看到是黑白,首先想到的是LSB隐写,但是用Stegsolve查看后没有发现。
于是查看图片信息,在备注栏发现“this_is_not_password”字符串
用foremost提取,发现一个加密压缩包,尝试用刚才的字符串解密,得到flag
20、easycap
打开流量包发现全为TCP协议,追踪TCP流即可发现flag。
2368
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
