BUUCTF-Misc题单 1~8
BUUCTF-Misc
第一题 签到
题目描述:签到题 flag{buu_ctf}
工具:无
题目直接给出 取得flag flag为flag{buu_ctf}
第二题 题目名字被ban了
题目描述:注意:得到的 flag 请包上 flag{} 提交
工具:Stegsolve
拿到附件 解压 发现里面是一张gif图片
(图片被ban了)
图片在播放时 时不时闪现红色的字符
所以试着一帧一帧观看图片闪现的内容
Stegsolve可以做到这一点 我们用它打开图片
(图片被ban了)
点击 Analyse 再点击 Frame Browser 可以逐帧查看图片
(图片被ban了)
?一片空白
查了一下好像是版本兼容的问题 所以又去装了1.3版本
拼接21 51 79这三帧的内容 取得flag flag为flag{he11ohongke}
第三题 你竟然赶我走
题目描述:注意:得到的 flag 请包上 flag{} 提交
工具:010Editor
拿到附件 解压 发现里面是一张jpg文件
查看文件属性 发现啥信息也没有
试着用010Editor看看
发现有个未知数据块 里面有flag
查找相应位置
复制 取得flagflag{stego_is_s0_bor1ing}
第四题 二维码
题目描述:注意:得到的 flag 请包上 flag{} 提交
工具:QR_Research 010Editor ARCHPR
拿到附件 解压 发现里面是一张png文件 内容是个二维码
(图片被ban了)
用QR_Research扫一下看看
(图片被ban了)
显示secret is here
查看图片的属性试试
空的
因为是png文件 所以猜测是否可能有隐写
使用Stegsolve看看 检查各个轨道
各个轨道都没有问题 猜测可能是LSB隐写
点击 Analysis 点击 Data Extract
勾选 LSB First 将 Red Green Bule 勾选为0
无果 换个思路 用010Editor看看
显示运行png.bt的时候报错了 那说明这个图片确实有问题
点ignore忽略它
我们发现 除了PNG文件里还有PKPK是 zip 文件头的标志 试试看
把PK前的数据直接删了 将后缀名改为 zip
发现里面有个4number.txt试着打开 发现需要密码
根据文件名称 应该是四位数字密码 这里用ARCHPR爆破
设置数字爆破 0000到9999
成功 密码为7639打开4number.txt
将CTF改为flag取得flagflag{vjpw_wnoei}
第五题 大白
题目描述:看不到图? 是不是屏幕太小了 注意:得到的 flag 请包上 flag{} 提交
工具:010Editor
拿到附件 解压 发现里面是一张png文件
根据题目描述 合理怀疑图片的宽高被动过手脚
使用010Editor打开文件 发现有CRC报错证实了文件宽高有问题
报错位置在chunk[0]查找到对应位置
控制宽高的数据为IHDR后的八个十六进制数
前四个为宽 后四个为高
为了使图片尽量展示更多 我们可以试着将宽高调大
这里只调了高 让其数值上与宽一致
保存 打开图片
图片上显示了flag 取得flag flag为flag{He1l0_d4_ba1}
第六题 wireshark
题目描述:黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案) 注意:得到的 flag 请包上 flag{} 提交
工具:Wireshark
拿到附件 解压 发现里面是一个pcag文件
这是Wireshark的文件 我们用它打开
根据题意 我们需要获取管理员的登录的密码
而登录这一过程需要向服务器上传数据 所以用的是POST请求方式
所以我们过滤出 POST请求 的包
在显式过滤器输入http && http.request.method == "POST"
意思是过滤出 http流量的 并且 http请求方法为POST 的包
发现只有一个包 右键 追踪流 追踪http流
发现flag 将password的值复制 套上flag{}取得flag flag为flag{ffb7567a1d4f4abdffdb54e022f8facd}
第七题 乌镇峰会种图
题目描述:乌镇互联网大会召开了,各国巨头汇聚一堂,他们的照片里隐藏着什么信息呢?(答案格式:flag{答案},只需提交答案)注意:得到的 flag 请包上 flag{} 提交
工具:010Editor
点击附件 发现是一张图
我们将其另存在本地 发现是个jpg文件
题目说图片隐藏了信息 所以先看看属性
空的
那试试用010Editor打开
有 CRC报错 但先不着急看是否是宽高问题
发现有个未知数据块 里面写着flag
查找相应位置
复制 取得flag flag为flag{97314e7864a8f62627b26f3f998c37f1}
第八题 N种方法解决
题目描述:注意:得到的 flag 请包上 flag{} 提交
工具:010Editor QR_Research
拿到附件 解压 发现里面是一个exe文件
尝试运行 发现运行不了
用010Editor打开试试
发现它实际上是个jpg文件 后面的数据进行了base64编码
试着直接改文件后缀 没用
那找一个base64转图片的网站
(图片被ban了)
发现是个二维码 用QR_Research扫一下
(图片被ban了)
发现flag 复制 将KEY改为flag取得flag flag为flag{dca57f966e4e4e31fd5b15417da63269}
