BugKu-图穷匕见

最新推荐文章于 2021-05-07 14:36:48 发布
最新推荐文章于 2021-05-07 14:36:48 发布
阅读量249 收藏
点赞数
原文链接:http://www.cnblogs.com/zaqzzz/p/9469828.html
版权

拿到图片后,先放到winhex,看看文件头是不是和jpg匹配,看看文件尾,不是FFD9 ,说明后边肯定是藏了什么东西。 顺便找一下文件尾有没有flag(估计是签到题目才会这样吧)。
binwalk跑一下。

1397720-20180813174401385-260739738.jpg

发现分离不出什么东西,但是又被改过。

然后去看看是不是LSB,也没有发现什么。其实在这里我就犯了一个学生最容易犯的错,让惯性思维给左右了。我做这种题目,总是能够在binwalk里边分理出图片或者压缩包,那是因为人家本来就在后边给你添加了个,binwalk也是根据文件头文件尾给你分离文件。可是这次并不是这种图片之类的。搜索十六进制的FFD9,然后发现就一个,看截图:

1397720-20180813174417464-1145270126.jpg

FFD9后边的看起来并不像是平时遇到的,感觉有点奇怪,后边的内容全部都是这样。
1397720-20180813174704991-1851467900.jpg

在这个FFD9之后,观察一会,原始数据中存在a,c,可以判断是原始数据是16进制。那我们当然要转化为我们能看懂的格式,这里不要瞎转,不要扯上url,base64,之类的。逆向思维,你觉得什么编码或者转码后能成为16进制,2,8,10?可就算我们转化去,估计还是看不懂啊,不过我们能看懂ascii码阿。
我们先把数据取出来(注意啊,取得时原始数据),放notepad++里面,什么都行,能转ascii就行,你直接放winhex里也行。
1397720-20180813174836748-257279867.jpg

最后发现这是很多的坐标,和题目的提示"你会画图吗?"吻合了。
1397720-20180813174856985-1016265533.jpg

用kali下的gnuplot,不过的先把坐标保存为txt,并且符合他的格式,没有,() 直接在notepad++里面crtl+f全部替换就行了。
1397720-20180813175013833-1881147702.jpg

kali下:
1397720-20180813175056166-621809397.jpg

1397720-20180813175105805-1318376157.jpg

flag{40fc0a979f759c8892f4dc045e28b820}

转载于:https://www.cnblogs.com/zaqzzz/p/9469828.html

weixin_30376083
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[BUGKU] [MISC]
Stan冲冲冲
07-09 608
下载下来,发现是jpg 先检视详细信息 题目叫做,所以以为是改高度 但是拉进winhex后发现,文件尾有一大串字符串 一般给出这么多数据,题目又与片有关,那么肯定是要作了,而这些数据一般都是坐标信息 仔细分析,没有大于F的,应该是hex 刚开始以为是转换成dec,但是不知道怎么划分,尝试多次后发现是转换成ascii 按惯例是要贴上结果的,但是太长了有35019行,就不放上来了 全是坐标,先另存为txt,然后gnuplot作 但是用gnuplot有格式要求,得先去掉括号和逗号 直接ctrl+
BugKu MISC 部分题目Write_up(三)
fly小灰灰的专栏
11-06 1万+
接上一个博文:BugKu MISC 部分题目Write_up(二)
Bugku杂项——
qq_40481505的博客
09-25 1059
下载片,按照题目提示,在片的尾部应该会有些东西 果然,是一些看上去很有规律的字符串,以数字为主: 28372c37290a 28372c38290a 同时在像的属性中发现提示: 提示需要画,因此猜想这些规律的字符串为坐标 开始误以为字符串直接就是坐标,结果画出来并不正常,因这些字符串肯定需要进行转换才能得到坐标,又注意到‘(’的十六进制ack码为28,所以需要对其进行转码 notep...
bugku 杂项 wp
m0_52545432的博客
05-07 295
bugku 杂项 wp 1.可能是因为自己比较菜,这题我看别人的wp都看了半天才做出来,中间一些弯路也就不说了,就直接说一下重点。下载后是一张片 2.看到的第一眼我想到的是,左边肯定还有东西,于是修改了一下宽度,并没有什么发现,打开010,发现这张片很奇怪! 3.后半部分都是这种,无从下手,于是就看了别人的wp(没啥毅力),首先找到这个 FF D9 他是是jpg的尾部。 4.复制后面的所有内容,去hex解码,挺多的,用notepad++都卡住了,于是用在线的解码 。 5.解出来之后是一堆坐
Bugku - Misc - Writeup
baikeng3674的博客
06-06 308
Bugku - Misc - Writeup 原文链接:http://www.cnblogs.com/WangAoBo/p/6950547.html 题目 给了一个jpg片,下载片 分析 片下载后,先右键查看属性,有如下发现: 片的标题flag以及题目都暗示该片在文件末尾隐藏了信息,主题会画吗的作用下文再分析 步骤 用16...
Bugku Misc
我,我的博客
08-09 2230
附件下载,一张片,vim发现末尾存在大量数据 16进制的28对应的是符号 “(”,于是尝试解析一下:    1.讲末尾数据输出: tail -n 1 paint.jpg >> code.txt && vim code.txt #删除文档之前的部分非数据文字     2.处理 with open("code.txt","r") as f: data=f...
关于的主人公是谁参考.doc
09-16
关于的主人公是谁参考.doc
:关于国家牛市的真相.doc.pdf
12-17
:关于国家牛市的真相.doc
bugku
qq_38807738的博客
12-05 1930
打开题目,得到一张片,用C32asm打开在最难后面发现了一串16进制数,用python3脚本转码成ascll(也可以用Notepad++的插件转码) f=open('text.txt') temp=[] while True: k=f.read(2) if k: temp.append(k) else: break f.close()...
BugkuCTF之misc题之
A_dmin的博客
05-06 2343
BugkuCTF之misc题之 下载文件,用winhex打开,由于是jpg文件,直接搜索FFD9 发现后面接了一长串类似于16进制的数字: 直接把后面的copy下来,用16进制转ascii码工具转一下,当然也可以用py脚本跑。 解出来发现类似于坐标的值: 把这个文件里面的(,)全部替换掉: 接下来使用kali里面的命令gnuplot 得到: 扫码可得flag! ...
bugkumsic之
weixin_43326436的博客
07-12 249
** misc之 根据属性内给的提示信息,可以大致猜测到是自己做出 **用winhex打开后后边发现一段16进制数 之后会发现是一段十六进制数用notepad++转换成坐标形式 点击pluginsns选择convereter再次点击hex->ascll即可 会出现下 再用记事本把括号和逗号替换掉 打开kali 命令;gnuplot 再进行使用命令plot 2.txt 扫码...
BugKu-CTF论坛writeup(杂项)】
preserphy的博客
03-06 2584
。看这个名字就知道,片后面肯定还有东西,所以我们用HxD打开片,找到JPG片的结尾发现结尾后面有一大串很有规律的十六进制数据。复制到notepad++里打开(注意不是复制十六进制数据啊),使用自带的Converter插件进行格式转换,会得到一大串坐标数据==================================================================...
ctf-BugkuCTF-misc
zhang14916的博客
08-03 1549
1.这是一张单纯的片 使用winhex打开片,在片结尾发现一串&#开头的16进制串,直接对16进制字符hex解码即可 2.隐写 打开压缩包发现文件时坏的,放入tweakpng.exe中修复并加长高度,直接使用画3D打开即可 3.telnet 解压发现是一个数据包,直接用wireshake打开,题目提到telnet,搜索telnet,按字节大小排序,阅读可直接看到答案 4...
CTF训练STEGA题目-数独
qq_30167299的博客
05-12 5516
看到这名字,还以为要解数独。。。下载文件,解压出来好多数独...想起那句话,没有无缘无故的信息。那么可以推测,flag应该藏在全部的数独中,每个数独仅仅包含一部分信息。但?这是普通的数独,能有什么信息?最多就是数独排列不同。忽然发现,会不会是那些数字组成的形状,细看1.png,5.png,21.png.这不就是二维码的定位形状吗?这些数独片可以组成二维码。需要将片1.png,5.png,21....
ctf-STEGA-
qq_30167299的博客
05-22 4394
一道ctf的片隐写。题目的附件如下:,顾名思义就是中有flag,挖掘片隐藏信息就得到flag,没什么用。。。使用一样的套路.第一步:使用binwalk分析下:没有多余的文件嵌套进去。第二步:分析片的二进制,获得可显示字符。一般我都是直接暴力获取长度至少为5的可显示字符。使用正则表达式:     ".{5,}"你可以使用linux的grep获取。如:这里出现一大串的数字,此事必有蹊...
【LSB】片隐写主体函数
我的博客
09-25 465
关于像隐写 像隐写是一种有效的方式来交换隐藏的消息,而不会引起怀疑。它的工作原理是用lbs算法将消息编码为像像素的颜色值。 这种功能基于浏览器的最新特性比如File API和Canvas,如果你的浏览器不支持该该功能,请下载最新的浏览器。 解析函数以及其功能 解析index.html中的js: 片的加载 传统的片加载需要将片上传到服务器,再由服务器加载出来,而现在可以使用FileRea...
Bugku杂项 wp1
ChanCherry的博客
10-03 1850
这是一张单纯的片 用winhex打开,发现一些不正常的编码,http://tool.chinaz.com/tools/unicode.aspxASCII转Unicode一下,得到key{you are right} 隐写 片第二行第2,3列是片宽,6,7列是高,把第六列01改为11,保存下来,即可看到flag。 telnet ...
bugku writeup(misc_1)
热门推荐
Time-s_up
10-01 2万+
题目网址:http://123.206.31.85/challenges 先大体梳理一下片隐写的一般思路: 1.查看片属性中的详细信息,2.用notepad打开查看内容,3.binwalk检查片里是否存在其他文件,4.使用winhex观察或提取信息,5.stegsolve观察片 分析流量包的一般思路: 1.追踪数据流,2.直接导出文件 1.这是一张单纯的片?? 3
Bugku Misc 多种方法解决
我,我的博客
08-07 2173
下载附件,解压 ,发现是exe文件,然后兴致冲冲的跑去Windows7 x64下运行,报错,然后又去Windows7 x86下运行,报错。 是我太年轻,这个exe文件没这么简单。 vim查看下文件,发现应该是一张片,但是进行了base64编码。 于是,在线转码啦~ 题目提示的二维码也出现了,在线识别下二维码 结束! KEY{dca57f966e4e4e31fd5b15417...
bugku之细心
Seaern的博客
09-09 193
题目链接 try again木有用 咱就换个方法 试试御剑 试试http://123.206.87.240:8002/web13/resusl.php 题目给的提示就是 想办法变成admin 所以 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值