→_→

掀桌子（来源：攻防世界）1.关卡描述2.解题步骤分析：给了一份报文：c8e9aca0c6f2e5f3e8c4efe7a1a0d4e8e5a0e6ece1e7a0e9f3baa0e8eafae3f9e4eafae2eae4e3eaebfaebe3f5e7e9f3e4e3e8eaf9eaf3e2e4e6f2这是DDCTF2018，不会太简单，看着上面像16进制转ASCII一下：利用base全家桶解密一下:都没有得到有效的信息，没有任何思路。============

pdf （来源：攻防世界）1.关卡描述2.解题步骤分析：我们下载附件后，是一个pdf文件，打开之后看到的是一张图片，想到题目描述也说了给了一张图片，图片下面什么也没有，这说明图片的下面应该是有flag，这是一道pdf隐写题我们使用editor进行查看：发现这里比较特殊，不知道怎么做了，没做过pdf隐写题，那就去百度搜集一下：搜集的信息比较杂乱，简单的试了一下没有成功、===========================================参考wr

如来十三掌（来源：攻防世界）1.关卡描述2.解题步骤分析：题目提示如来十三掌，想到ROT13，我们先下载附件，发现是一个word文件里面有一段话，看样子像是社会主义核心价值观编码，发现解不开，说明解码不对。==============参考：这一题的关键就在于解密上面的密文：在线网站：与佛论禅：与佛论禅解密之后，又得到一串密文，想到提示如来十三掌，那就是ROT13解码MzkuM3gvMUAwnzuvn3cgozMlMTuvqzAenJchMUAeqzWe

gif （来源：攻防世界）1.关卡描述2.解题步骤分析：题目说是动态图，实际上却是一大堆分离出来的图片：103张黑白图片（实际是104张，没有计算0张图片），猜测会不会是白对应1，黑对应0，或者白0黑1，猜测为二进制：简单的试了一部分，发现不对，（笔记：简易以后要么测试8位，或者是16位等，不要只测某个部分的）那么观察16进制：黑色有这些字符特征白色：没有任何的头绪：看看其他writeup是如何做的：==================

give_you_flag（来源：攻防世界）1.关卡描述2.解题步骤分析：题目关键词：彩蛋，表情包发现是一张gif图片，在第50张的时候发现了一张没有定位点的二维码看来需要我们使用工具填补定位点了：找一个定位点：利用画图工具:歪歪扭扭算是补上了==========================总结：基础题附加相关二维码得相关二维码生成原理及解析代码知识，有兴趣可以去看看，个人感觉 比较具体 二维码生成原理及解析代码_琦小虾的代码世界-

坚持60s（来源：攻防世界）1.关卡描述2.解题步骤分析：题目暂时看不出什么，先做题：一个gar文件，里面展示的是一张动态图。红色标记的会被碰撞而爆炸小时，看不出什么，利用editor看一下;看到此标志，说明这是一个压缩包，改zip后缀处理一下：内容不少先简单分析了下图片数据没发现什么，在cn文件夹中的找到了flagflag{RGFqaURhbGlfSmlud2FuQ2hpamk=}提交的时候告诉我不对，看到flag例的内容像是base

stegano（来源：攻防世界）1.关卡描述2.解题步骤分析：题目已经告诉了我们隐写还提到了pdf，那就是pdf隐写下载附件：一段英文，且水印告诉我们这没有flag想翻译这段内容时，发现：上面有东西，复制下来：XXXXXXXX看不懂，在线转一下word：不知道这是什么密码？======================参考资料：利用谷歌浏览器打开pdf,全部复制下来，并粘贴到文本中发现：（笔记在线转word也没发现）XXXX不是我

ext3（来源：攻防世界）1.关卡描述2.解题步骤分析：题目说是linux系统光盘，下载下来是一个没有后缀的文件，打开，直接搜flag （笔记：ext3是一个日志文件系统）发现 .swp这是linux的缓存文件，那么这一题考查的是linux操作了，我们直接在linux上编辑这个文件看看：看不出来，使用foremost分离文件看看：flag{f0rens!cs!sC00L}发现提交不正确，说明这不是需要提交的flag，再前面我们也看到是有个flag.tx

base64stego （来源：攻防世界）1.关卡描述2.解题步骤分析：首先题目就告诉了我们base64，stego不知道是什么可能是某个工具，描述又提到十三，那么存在ROT13解密的可能性。（笔记：stego是Steganography的缩写，即隐写）下载附件，发现是一个加密的zip文件，没有什么密码提示，估计就是伪加密了利用010editor找到并修改09改成00解密之后，看到文本内容：base64解码一下：又去解码了一小段：发现结果是

SimpleRAR（来源：攻防世界）1.关卡描述2.解题步骤分析：上面说到双图层，还有拼图，那肯定与图片有关我们下载附件发现有一个文本，但里面没有flag，那我们使用erditor或者winhex分析一下：发现了一张图片，foremost分离出来，发现不行 ，改后缀也不行，也没看到png的文件头，不知道如何去做了。============================参考：正确的思路是，下载的附件是rar，很有可能考查的是rar隐写的问题，我们使用win

Hidden-Message（来源：攻防世界）1.关卡描述2.解题步骤分析：下载附件得到一个流量包，对tcp流进行追踪，没有发现什么：特别注意的是流量包含有含有大量TLS流，且没有http流，说明使用foremost没有检测出关键信息，使用binwalk,得到一个crt文件文件的内容是乱码。通过对所有流进行分析：发现重要协议中比较重要的协议是tcp、udp、ssl对tcp流进行追踪，没有发现什么有效信息，而且只有一个tcp流，含有的信息也是非常的的

Hidden-Message（来源：攻防世界）1.关卡描述2.解题步骤分析：流量分析题，题目说藏的什么信息？全是UDP协议与古典物理学相比，古典物理学是一个稍微宽松的术语，通常指20世纪和21世纪的物理学，因此总是包括量子理论，而古典物理学是一个物理系统，在这个系统中，理论是有效的。古典物理学的应用是，分子向上，包括原子和原子内部的宏观领域一般不提供一个正确的描述磁辐射是部分描述，因为量子效应是obsy比qu不同的情况下，量子物理学的原理是由comechanics在某种意

3-1（来源：攻防世界）1.关卡描述2.解题步骤分析：下载附件，解压得到：editor分析，得到：发现是一个流量包，修改后缀，分析http对象：发现flag.rar，导出之后，发现是一个加密的压缩包，然后追踪TCP流，找密码，在流6中发现关键信息：发现3个核心数据，第一个是flag.rar,第二个是base64编码19aaFYsQQKr+hVX6hl2smAUQ5a767TsULEUebWSajEo=第三个是AES脚本，base64直接解密

互相伤害（来源：攻防世界）1.关卡描述2.解题步骤分析：下载附件是一个没有后缀的文件，拖到editor发现有压缩包和图片，foremost分离后有点问题，拖到kali上，发现：直接被识别为流量包，file命令进一步确认直接修改后缀名为pcapng发现这张图片存有另一张图片，且在PK中也就是压缩包中，保存下来：然后直接修改后缀名：这说明还有一张扔下内衣的图片。（因为在foremost分离出来过，只不过图片不清晰）发现：使用QR

Cephalopod（来源：攻防世界）1.关卡描述2.解题步骤分析：题目告诉我们flag在流量包中：ctrl+f发现flag.png，追踪tcp数据流，就两个保存txt文件，利用editor删除多余数据：

flag_universe（来源：攻防世界）1.关卡描述2.解题步骤分析：这道题很简单，先下载了一张图片在上传了一张图片很明显，flag在上传的哪一张图片中，追踪流，导出来lsb隐写

心仪的公司（来源：攻防世界）1.关卡描述2.解题步骤分析：题目提示的意义不大，打开压缩包，发现是一个webshell.pcapng,重点分析http流发现这么多没用的，直接提交：fl4g:{ftop_Is_Waiting_4_y}就对了，感觉太坑了在foremost中分离得到，没什么用============================简单的做法直接：1.2.====================总结：自.

simple_transfer （来源：攻防世界）1.关卡描述2.解题步骤分析：题目翻译简单的转移，还告诉我们文件里有flag那么直接使用foremost分离看看有哪些文件能分离出来分析了一下好像没什么用，我们利用wireshark进行分析看到了NFS猜测与其有关，但没什么思路RST代表验证错误修复数据包=============================参考资料：发现有NFS直接过滤;发现file.pdf，forem

神奇的Modbus （来源：攻防世界）1.关卡描述2.解题步骤分析：题目很明确的告诉我们了寻找flag,直接找：工业设备消息传输使用modbus协议。所以我就采集了modbus的通信数据包。在这些数据传输中存在着flag。接替思路是这样的，利用该modbus读取设备的相关数据。首先读取数据的话modbus 有01，02，03，04功能码，01是读取线圈状态：取得一组逻辑线圈的当前状态（ON/OFF ），02是读取输入状态:取得一组开关输入的当前状态（ON/OFF），03是读取保持寄存

就在其中 （来源：攻防世界）1.关卡描述2.解题步骤分析：题目高数我们就在其中，分析了一下数据包，导出了两个RSA密钥笔记：这里要好好看后缀,这是这道题的最大的问题知道了这个key后缀名我们就应该知道解密的是文件，而不是流量分析包，还是经验少开头为MIICX的才是正确的密钥，解密之后流量包没什么区别，也没找到flag,还导出了一个125页的pdf文件，好像也没什么用。还导出一个压缩包，内容是乱码又看来一遍数据流=============