Tokeii想躺平

吾爱破解新年Web系列解题

【CTF机器人插件】即时解码群聊出现的二维码

【CTF机器人】文件头字节查询(Nonebot2+CQHTTP)

前段时间出隐写题的时候发现了一个很有趣的隐藏信息的地方，给大家分享一下首先来新建一个txt文本，看看他的属性。下面那里可以藏信息呢？大小？位置？NoNo咱今天就用利用时间来进行信息隐藏首先来读取一下这个时间，在python中使用os库就可以直接读取创建时间、修改时间、访问时间。打印之后得到以下内容：其中st_atime为访问时间，st_mtime为修改时间，st_ctime为创建时间都是以unix时间戳(S)表示单独提取出创建时间使用可以直接提取如果需要转为标准格式，需要导入time库这样打印出来的结果

题目难点在于发现藏于系统中处于打印失败的SPL文件正常解法（仿真解法）导入FTKimager中，选择加载镜像打开Vmware，新建虚拟机根据下图进行新建虚拟机（不同电脑设置可能不同，最主要的是需要后面的仿真设备是否相同）直接进行开机，提示有密码，先关机使用NTPWedit清除或更改密码后重新开机查看日志，在Microsoft-Windows-PrintService/Admin下 可以看到 因为错误删除掉的SPL文件所以需要使用DiskFenius进行文件恢复导出后，使用SPLVie

创建文件部分import os****************************************************************************filepath = ‘./dir’for i in range(1936):**************************************# **************************************# ********************************

今天在全新kali下安装zsteg时候产生这个问题，查询了好多地方，最终找到以下解决方法sudo apt install file即可

Policy Violation Pt.1 142 One of our employees violate the companypolicy by running a malicious document on the company machine after wenoticed that he deleted the files can you bring it back to make someanalysis?Q1. What is the CVE Number and Date of.

1.secret_chart解压压缩包，获得一个图片，使用foremost分离出一个zip进行爆破，得到密码9527容易发现的事情是吃到这一列$B，还有王苗苗这一行，都是1宋爱梅这一行都是1010把所有月份拼凑在一起，发现一共576，明显的matrix特征编写代码，01画图from PIL import ImageMAX = 24pic = Image.new("RGB",(MAX, MAX))str = "1010101010101010101010101011101000101

windows.info：显示正在分析的内存样本的OS和内核详细信息windows.callbacks：列出内核回调和通知例程windows.cmdline：列出进程命令行参数windows.dlldump：将进程内存范围DLL转储windows.dlllist：列出Windows内存映像中已加载的dll模块windows.driverirp：在Windows内存映像中列出驱动程序的IRPwindows.driverscan：扫描Windows内存映像中存在的驱动程序windows.files

（这是我见过最TM套的题目）一个镜像文件，一个f14g的压缩包（进行了字符串翻转）解压压缩包，得到fl4g的一个文件文件头尾opcache缓存文件，提取下面的urlcode，进行解密解码之后得到一段很明显的Uuencode用010editer自带的解码得到一串很明显的Quoted-printable进行解码得到一个bzip文件继续解码，得到一个7z文件，有密码。开始看内存文件内存显示，桌面上有一个secret.png文件提取出来使用zsteg梭一下，得到密码 b651b

内存取证1因为题目要求求密码，所以直接使用Passware Kit Forensic 2021 内存分析功能进行一把梭第二问提示有手机备份文件使用各类取证工具，甚至使用foremost可以轻易地知道型号为HUAWEI使用volatility来分离相关文件因为我试用的是windows下的，所以用到的是find命令vol -f Target.vmem --profile=Win7SP1x64 filescan|find "HUAWEI"直接提取第一个即可vol -f Target.vmem

Flag Thief WP用DG，FTK，取证大师均可挂载该附件这里DG无法直接挂载（需要e01转dd），这里用取证大师进行讲解根据Hint：曾远程过其他电脑，可以判断磁盘中有远程的相关痕迹常见的远程痕迹有：1.经典的default.rdp文件2.注册表搜索Terminal Server Client3.BMC 文件位置：…\AppData\Local\Microsoft\Terminal Server Client\Cache4.Credentials 位置：…\AppData\Local

导入AU，选择显示频谱前半进行二维码拼接，拼接之后 用PS等工具把 进行反相后半为按键音，截取部分在线网站识别即可得到一串数字，按照手机九宫格输入即可得到密码后半http://dialabc.com/sound/detect/index.html...

就是这个图，用到了cloacked-pixel这个工具盲猜一手密码123456 命令如下lsb.py extract 4.png 1.txt 123456解压之后 很明显这是一个pyc文件进行逆向还原之后，得到代码import randomrand = random.randint(1, 10)flag = '???'k = []for i in range(len(flag)): k.append(ord(flag[i]) & 15 ^ rand) k.app.

题目要求找到powershell执行的脚本储存的注册表键以下为整体思路使用到工具volatility、010editer首先使用volatility查看dump文件基本情况这里我使用的是windows下的volatility所以以下以windows语法为主vol.exe -f memory.dmp imageinfo如图所以要加上参数**–profile=Win7SP1x64**因为题目让找powershell下，所以先看一下日志文件vol.exe -f memory.dmp --pro

2021萌新赛MISCWP，加一道CryptoMISC-sign inMISC-very-ez-dumpMISC-！了反都，了反MISC-happy六一MISC-PeltateMISC-base64 ... or base56?MISC-????????????MISC-包MISC-sign in下载解压发现pdf需要密码打开直接爆破，得到密码：661123打开文件获得flag：flag{welec0me_to_news_ctf}MISC-very-ez-dump下载文件，直接用foremo

下载之后发现文件有锁，直接爆破，密码为flag16:p}.minecraft下options.txt 存在flag14:275f47 hex转换为**‘G**server.dat下有一个flag13:c1d587f97b4bb4f3f99017d6f12a9f8ba39329c9 解密sha-1 flag13:er5\assets\indexes\1.16.json flag8:a789b7128c475a533b05ef8e49bf047ac42f3611解密sha1(md5())flag8

致敬沐沐子题目地址链接：https://pan.baidu.com/s/1NvLzi1mM7AHK67j1xR0mxw提取码：7aea这里就不说思路了直接上完整解题流程flag.rar解压后的文件附加了NTFS流，用软件提取出来下图里面是真正的密码，压缩包为弱密码，密码为1234得到真正的密码为：w0w_n9-9-i^ydescribe.txt中提示的，RGB and no Adam用010editer修改成如图所示提取出所有的像素点import zlibimport bina

一上来给了一个显示有密码的ZIP这里要么就是伪加密，要么就是弱密码用16进制编辑器打开，修改2E902、2EE0F,将09修改为00，保存后可正常解压解压得到一个png文件、一个zippng文件应该有zip的密码开始研究png将png拖入Tweakpng中发现有一个异常块双击打开，获得字符串：Hd7ixpNjuGp，base58解码之后得到zip密码calc.exe解压Notepad.zip，里面是抽象话（emoji ）hint通过百度稍微一搜，很容易发现这是G语（http:/

自制工具箱使用了rolan工具整合文件列表：https://www.mzy0.com/list.htmctf工具箱下载地址链接：https://pan.baidu.com/s/1PkoC2ifkDehEIwNRs8uVyQ 提取码：mzy0

#coding:utf-8import zipfile,binascii#导入文件filename='whereisflag2.zip'zipFile = zipfile.ZipFile(filename,'r')#生成zip文件列表ziplist = zipFile.namelist()#列表排序ziplist.sort()flaghex = ''#按照列表顺序输出crc32的值for i in range(len(ziplist)): zipfileinfo = zipFi

出题思路flag转换为asciiascii分割成4位-6位的数字使用fsutil file createnew命令在cmd下可以创建指定大小的文件文件的大小就是flag的片段从1~10依次拼接最后转为字符串即可~

解题脚本如下import syswith open("out2.txt", "r") as f: str2=f.read()base64_list=['A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', 'a', 'b', 'c', 'd', 'e', 'f',

解题流程：图片foremost分离，得到一个压缩包，解压，一个flag.txt，一个key.zip，flag.txt里面为rabbit加密，key.zip里面文本大小为5，这里crc32爆破然后解密完事flag没有

解题流程：binwalk分离zlib，得到一堆10组成的文件，长度为841，很容易联想到29*29是个二维码，转为二维码后扫码得到flagflag没有自己做

很简单的题目，jpg分离，得到一个rar文件，里面很明显是敲击码，先读纵轴题目其实有提示，将图片大小改为521*521，可以看到下面有一个鼓，对应敲击傻逼题目，给个敲击码，我还以为是jpg的某种隐写方式，纠结半天flag不给...

MISC 11使用tweakpng删除第一个IDAT块即可得到flag

非预期做法：爆破zip，勾选大小写字母数字符号

首先将Babyre.exe文件拖入peid看看有没有壳或者其他信息很明显这是一个c# .net程序，.net程序一般要用dnspy软件拖入dnspy，在主窗口很容易可以看到最终flag为三段内容的拼接this.contents="flag{ca201ed0-9e07";this.contents=ptr+"-11e8-b6dd";this.contents=ptr+"-000c29dcabfd}";...

考点： 字体编码之间的互相转换题目提示： 闹酒狂欢套了一层hex常规解法：闹酒狂欢英文为Wingding百度查找到新建一个word文档 ，将字体选择为Wingdings将flag内容复制到word里面然后选择字体为其他字体即可图片3.png得到flag：Bugku{*******}（感叹号在外面，没有感叹号）PS：突然发现的解法，复制到QQ聊天框，微信等其他都不行...

将Word文件修改后缀名后解压在目录**\word\media**下有两张图片上图为隐藏的图片，使用steghide 解压出隐藏的内容，密码为文件名.\steghide.exe extract -sf doctor.jpg -p doctor得到一个1.txt得到flag：flag{671642b5-e911-4203-97ef-4f872b3fe84a}...

之前参加的比赛题干小明在医院上班时听到了一首熟悉的歌曲，精通音律的他马上发现了其中存在的问题。flag为flag{按顺序找出来的多余的音符}。下载地址链接：https://pan.baidu.com/s/1fH4B_kj-j5mY8-ys_RTWsA提取码：6666思路如下：因为没有乐理基础，只能通过软件来辅助，比赛完和其他人讨论有位大哥差点猜出答案，佩服佩服首先解压，听了下，内行的话可以很快的猜出来这是洛天依的声音。题目要求是找出多余的音符我们把两段音频拖入Melodyne，对比发现

题目整体偏简单，没有刁难人的地方，一路通畅解压之后两个文件，没有后缀名的文件用010editer打开很明显是一个jpeg，添加后缀名"你有看过这个电影吗"很明显压缩包的密码和这个相关这里用到搜图的软件/网站很容易的搜到这个电影名字叫《比悲伤更悲伤的故事》尝试用比悲伤更悲伤的故事解密，成功解压得到一个2158646223.rar，打开文件之后，有段提示密码格式应该是xxyuexxri很容易联想到这个文件名可能是QQ号，搜索一下看到一个叫flag提交机的账户点开QQ空间里面的几条说说都是XXXX年