靶场练习-BUUCTF-Misc 1~8

BUUCTF-Misc题单 1~8BUUCTF-Misc第一题 签到题目描述签到题 flag{buu_ctf}工具无题目直接给出 取得flag flag为flag{buu_ctf}第二题 题目名字被ban了题目描述注意得到的 flag 请包上 flag{} 提交工具Stegsolve拿到附件 解压 发现里面是一张gif图片(图片被ban了)图片在播放时 时不时闪现红色的字符所以试着一帧一帧观看图片闪现的内容Stegsolve可以做到这一点 我们用它打开图片(图片被ban了)点击 Analyse 再点击 Frame Browser 可以逐帧查看图片(图片被ban了)一片空白查了一下好像是版本兼容的问题 所以又去装了1.3版本拼接21 51 79这三帧的内容 取得flag flag为flag{he11ohongke}第三题 你竟然赶我走题目描述注意得到的 flag 请包上 flag{} 提交工具010Editor拿到附件 解压 发现里面是一张jpg文件查看文件属性 发现啥信息也没有试着用010Editor看看发现有个未知数据块 里面有flag查找相应位置复制 取得flagflag{stego_is_s0_bor1ing}第四题 二维码题目描述注意得到的 flag 请包上 flag{} 提交工具QR_Research 010Editor ARCHPR拿到附件 解压 发现里面是一张png文件 内容是个二维码(图片被ban了)用QR_Research扫一下看看(图片被ban了)显示secret is here查看图片的属性试试空的因为是png文件 所以猜测是否可能有隐写使用Stegsolve看看 检查各个轨道各个轨道都没有问题 猜测可能是LSB隐写点击 Analysis 点击 Data Extract勾选 LSB First 将 Red Green Bule 勾选为0无果 换个思路 用010Editor看看显示运行png.bt的时候报错了 那说明这个图片确实有问题点ignore忽略它我们发现 除了PNG文件里还有PKPK是 zip 文件头的标志 试试看把PK前的数据直接删了 将后缀名改为 zip发现里面有个4number.txt试着打开 发现需要密码根据文件名称 应该是四位数字密码 这里用ARCHPR爆破设置数字爆破 0000到9999成功 密码为7639打开4number.txt将CTF改为flag取得flagflag{vjpw_wnoei}第五题 大白题目描述看不到图 是不是屏幕太小了 注意得到的 flag 请包上 flag{} 提交工具010Editor拿到附件 解压 发现里面是一张png文件根据题目描述 合理怀疑图片的宽高被动过手脚使用010Editor打开文件 发现有CRC报错证实了文件宽高有问题报错位置在chunk[0]查找到对应位置控制宽高的数据为IHDR后的八个十六进制数前四个为宽 后四个为高为了使图片尽量展示更多 我们可以试着将宽高调大这里只调了高 让其数值上与宽一致保存 打开图片图片上显示了flag 取得flag flag为flag{He1l0_d4_ba1}第六题 wireshark题目描述黑客通过wireshark抓到管理员登陆网站的一段流量包管理员的密码即是答案 注意得到的 flag 请包上 flag{} 提交工具Wireshark拿到附件 解压 发现里面是一个pcag文件这是Wireshark的文件 我们用它打开根据题意 我们需要获取管理员的登录的密码而登录这一过程需要向服务器上传数据 所以用的是POST请求方式所以我们过滤出 POST请求 的包在显式过滤器输入http http.request.method POST意思是过滤出 http流量的 并且 http请求方法为POST 的包发现只有一个包 右键 追踪流 追踪http流发现flag 将password的值复制 套上flag{}取得flag flag为flag{ffb7567a1d4f4abdffdb54e022f8facd}第七题 乌镇峰会种图题目描述乌镇互联网大会召开了各国巨头汇聚一堂他们的照片里隐藏着什么信息呢答案格式flag答案只需提交答案注意得到的 flag 请包上 flag{} 提交工具010Editor点击附件 发现是一张图我们将其另存在本地 发现是个jpg文件题目说图片隐藏了信息 所以先看看属性空的那试试用010Editor打开有 CRC报错 但先不着急看是否是宽高问题发现有个未知数据块 里面写着flag查找相应位置复制 取得flag flag为flag{97314e7864a8f62627b26f3f998c37f1}第八题 N种方法解决题目描述注意得到的 flag 请包上 flag{} 提交工具010Editor QR_Research拿到附件 解压 发现里面是一个exe文件尝试运行 发现运行不了用010Editor打开试试发现它实际上是个jpg文件 后面的数据进行了base64编码试着直接改文件后缀 没用那找一个base64转图片的网站(图片被ban了)发现是个二维码 用QR_Research扫一下(图片被ban了)发现flag 复制 将KEY改为flag取得flag flag为flag{dca57f966e4e4e31fd5b15417da63269}结算