目录
入门篇
misc1
直接打开压缩包就是flag了,通过在线文字提取平台进行提取
misc2
查看文件头,发现是png格式,将后缀改为.png,获得flag
misc3
下载下来里面是一个BPG
的格式文件 需要用能打开软件的工具:BPG Image format
进入cmd 输入命令bpgview.exe 文件名,获得flag
misc4
需要根据各个文件的文件头,复原出原来的格式获得flag,可以下载一个winhex来查看
JPEG (jpg) 文件头:FF D8 FF 文件尾:FF D9 PNG (png),文件头:89504E47 Windows Bitmap (bmp), 文件头:424D 文件尾: GIF (gif),文件头:47494638 XML (xml),文件头:3C3F786D6C HTML (html),文件头:68746D6C3E MS Word/Excel (xls.or.doc),文件头:D0CF11E0 MS Access (mdb),文件头:5374616E64617264204A Adobe Acrobat (pdf),文件头:255044462D312E Windows Password (pwl),文件头:E3828596 ZIP Archive (zip),文件头:504B0304 RAR Archive (rar),文件头:52617221 Wave (wav),文件头:57415645 AVI (avi),文件头:41564920 TIFF (tif), 文件头:49492A00 文件尾: WEBP,文件头:524946
misc5
直接打开看不见flag,用winhex打开,发现末尾有flag
misc6
直接用winhex,点击上方的search,搜索ctf找到flag
misc7
与misc6同样操作
misc8
图片隐写
用winhex打开,可以发现图片的内容有PNG(即隐写了其他图片)用binwalk验证一下,发现有2处png,确实隐写了。
再使用foremost misc8.png 将图片分离到output中,打开图片发现flag
misc9
flag在图片块中
同misc6的操作
misc10
根据提示,flag在图片数据中,图片数据的提取使用binwalk
到kail 输入命令 binwalk -e misc10.png --run-as==root
生成了_misc10.png.extracted的文件,cd进入,ls显示当前目录文件
vi 10ES查看flag
misc11
使用winhex没有搜索到flag,怀疑隐写了,使用binwalk查看图片,也没发现问题
这时通过一个工具-TweakPng查看,长度不一样
del之后就可以看见flag了
misc12
同上,不过要一个一个删除发现flagctfshow{10ea26425dd4708f7da7a13c8e256a73}
misc13
在winhex可以找到ctf的内容
只不过中间都隔了字符
所以我们可以将那串字符的16进制复制出来,通过一个脚本取出flag
a="631A74B96685738668AA6F4B77B07B216114655336A5655433346578612534DD38EF66AB35103195381F628237BA6545347C3254647E373A64E465F136FA66F5341E3107321D665438F1333239E9616C7D" flag="" for i in range(0,len(a),4): hexStr=a[i:i+2] flag+=chr(int("0x"+hexStr,16)) print(flag)
misc4
使用binwalk发现有2张jpeg,尝试使用命令binwalk -e misc14.jpg --run-as=root 分离图片,分离失败
尝试使用winhex,找到第三个FF D8 FF,往后开始到末尾,保存为新图像,获得flag
misc15
打开winhex,直接搜ctf就发现了
misc16
在kail中
使用binwal -e misc16.png --run-as=root 分离 查看文件可以获得flag
misc17
首先在kail中通过命令
git clone https://github.com/zed-0xff/zsteg 拉取文件
gem install zsteg 安装工具
使用命令:
zsteg -e extradata:0 misc17.png > 1.txt
提权出来即可得到1.txt文件再使用binwalk -e 1.txt --run-as=root 分离出flag
misc18
直接右键查看图片属性可以发现flag
misc19
直接使用在线的Exif信息查看工具进行查看即可
misc20
使用apt-get install exiftool 安装工具
输入命令exiftool misc20.jpg 可以看到ctf的谐音,试着翻译出来
或者同上使用在线exif查看工具也可以
misc21
根据提示通过EXIF查看器发现序列号
将序列号 十六进制转字符:hex(X&Ys)
hex为十进制转十六进制,分别对4段X,Y进行转化得到ctfshow{e8a221498d5c073b4084eb51b1a1686d}
misc22
可以发现图片在未打开的时候有黄色细线,可以用工具MagicEXIF打开缩略图放大看见flag
ctfshow{dbf7d3f84b0125e833dfd3c80820a129}
misc23
提示flag在时间里,到kail里面输入exiftool misc23.psd可以发现history when有很多时间
将其转换为时间戳得到874865822
2699237688
2156662245
460377706在将十进制转换为十六进制并组合得到
flag :ctfshow{3425649ea0e31938808c0de51b70ce6a}
misc24
题目描述: flag在图片上面。
下载附件为 bmp 格式的图片,用 010editor 打开图片。
图片大小是900150,即135000个像素,
而图片本身去掉文件头后应该是675000/3=225000个像素
所以还图片还少了一些像素,而 250900 = 225000 ,所以是少了的像素是在图片的高度上。
用winhex打开,将96 00 00 00 改为 FA 00 00 00 保存可以看见flag
ctfshow{dd7d8bc9e5e873eb7da3fa51d92ca4b7}