本文已参与「新人创作礼」活动,一起开启掘金创作之路。
被劫持的神秘礼物
某天小明收到了一件很特别的礼物,有奇怪的后缀,奇怪的名字和格式。小明找到了知心姐姐度娘,度娘好像知道这是啥,但是度娘也不知道里面是啥。。。你帮帮小明?找到帐号密码,串在一起,用32位小写MD5哈希一下得到的就是答案。
流量包,追踪TCP流
POST /index.php?r=member/index/login HTTP/1.1 (application/x-www-form-urlencoded)中追踪HTTP流发现name=admina&word=adminb
根据提示拼接帐号密码为:adminaadminb,MD5加密为:1d240aafe21a86afc11f38a45b541a49
flag{1d240aafe21a86afc11f38a45b541a49}
刷新过的图片
F5隐写
使用工具提取出来,发现生成的是Pk开头的,应该是zip格式,使用16进制确认了是ZIP,将生成的output.txt改为output.zip发现有密码。
16进制查看了下,是伪加密,将这里修改为00即可。或者用工具也应该可以修复
flag{96efd0a2037d06f34199e921079778ee}
F5隐写工具可以在win下用,也可以在Linux里用
git clone https://github.com/matthewgao/F5-steganography
以后想要解密的时候输入:
java Extract /图片的绝对路径 [-p 密码] [-e 输出文件]
[BJDCTF2020]认真你就输
EXCEL表格,binwalk发现存在东西,分离一下可以在文件里找到flag
flag{M9eVfi2Pcs#}
snake
binwalk分析发现图片中隐写了压缩包,进行分离得到一个压缩包,内容如下
base64_decode('V2hhdCBpcyBOaWNraSBNaW5haidzIGZhdm9yaXRlIHNvbmcgdGhhdCByZWZlcnMgdG8gc25ha2VzPwo=');"
What is Nicki Minaj's favorite song that refers to snakes?
serpent加密,key(小写):anaconda
贴一个解密网站:serpent在线解密:http://serpent.online-domain-tools.com/
flag{who_knew_serpent_cipher_existed}
[BJDCTF2020]藏藏藏
010查看可能存在压缩包,binwalk分离一下,得到压缩包,直接可以解压。扫二维码
flag{you are the best!}
被偷走的文件
一黑客入侵了某公司盗取了重要的机密文件,还好管理员记录了文件被盗走时的流量,请分析该流量,分析出该黑客盗走了什么文件。 注意:得到的 flag 请包上 flag{} 提交
一眼流量分析,在该数据包中看到有ftp传输,过滤ftp数据包,ftp传输有个flag.rar文件
binwalk -e 该文件名称
压缩包文件需要密码
爆破最终得到该压缩包密码为:5790
flag{6fe99a5d03fb01f833ec3caa80358fa3}
[GXYCTF2019]佛系青年
zip伪加密,可以自己改,也可以用工具修
txt里是与佛论禅加密
佛曰:遮等諳勝能礙皤藐哆娑梵迦侄羅哆迦梵者梵楞蘇涅侄室實真缽朋能。奢怛俱道怯都諳怖梵尼怯一罰心缽謹缽薩苦奢夢怯帝梵遠朋陀諳陀穆諳所呐知涅侄以薩怯想夷奢醯數羅怯諸
找个网站解码就行
flag{w0_fo_ci_Be1}
[BJDCTF2020]你猜我是个啥
解压附件attachment.zip时提示该文件为非压缩文件,联想题目,应该不是压缩包,010打开,开头发现PNG,但不用这么麻烦,flag就在最下面
flag{i_am_fl@g}
菜刀666
菜刀都是 POST 所以直接搜 POST逐流追踪
追踪流7 看到一串很长的内容 看到传了两个参数,z1参数跑出来是一个照片的地址,查看后应该是一个压缩密码,我们找压缩包
追踪流9可以看到传了一个 hello.zip
binwalk 可以把压缩包给分离出来
flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}
秘密文件
深夜里,Hack偷偷的潜入了某公司的内网,趁着深夜偷走了公司的秘密文件,公司的网络管理员通过通过监控工具成功的截取Hack入侵时数据流量,但是却无法分析出Hack到底偷走了什么机密文件,你能帮帮管理员分析出Hack到底偷走了什么机密文件吗? 注意:得到的 flag 请包上 flag{} 提交
流量包直接过滤ftp包,这里看到有个RAR包存在,应该是隐写了,binwalk分离一下,爆破密码:1903
flag{d72e5a671aa50fa5f400e5d10eedeaa5}
