1 Training-Stegano-1
这是我能想到的最基础的图片隐写术
附件是个bmp图片,下载下来长这样
一开始先用stegsolve和binwalk看了看没发现问题,然后用winhex发现有文字,“看看hex-edit提示了什么”
试着提交flag{steganoI},不对,看了wp说是直接提交steganoI。。。
2 Test-flag-please-ignore
没有题干,有一个附件,下载下来是个没有后缀的文件,文件名misc10. 加个txt后缀打开,里面有一串字符,最大不超过f,是十六进制。
先直接提交一下,答案错误。把这串字符复制到winhex里,ascii区域就显示了flag
(这道题本身很简单。当初做新手题时遇到一个,也是需要把一串字符复制到winhex的十六进制区域。首先需要这串字符是偶数个,不然只会复制到ascii区域,然后粘贴的时候选ASCII hex。当时由于不知道偶数位这个,一直粘贴不到十六进制区域,耽误了不少时间)
3 base64÷4
没有题干,附件一个,是个txt文件,打开里面是一串十六进制字符
跟上题一样直接粘贴到winhex,看到flag
(虽然很简单能做出来,但是不知道题目头部中的base64有什么用,看了评论之后才知道是base(64/4),即base16.。。)
4 What-is-this
一个附件,下载下来是个gz文件,解压之后得到一个没有后缀的文件,后缀改成txt之后打开是一堆乱码,拖到winhex里也没有发现线索。
拖到kali里面想看看有没有隐藏文件,拖过去之后发现即使没有加后缀,文件图标也自动变成了压缩文件的图标
这时候可以直接解压得到两个jpg,而且这时候用binwalk的话它会告诉你这是个tar文件(在Windows环境中需要把后缀改成tar才能成功解压出两个jpg)。
解压后得到的两个jpg全是黑白像素点,考虑将两个图片用stegsolve合并,合并之后就能看到flag。先打开一张图片,然后选择image combiner打开第二张图片即可。
(一开始把那个没有后缀的文件拖到kali里面的时候,自己就变成了解压文件,很直白,不需要自己再进行后续的猜测了。对于两张雪花图片也要能想到图片合并。花了点时间,学习思路很重要)
5 wireshark-1
黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案)。 flag提交形式为flag{XXXX}
附件下载下来是个pcap文件,用wireshark打开,直接在分组字节流搜flag就能看到了
(看了wp之后,发现了更好的解题思路。网站登录一般会用表单以post方式提交,因此。。。1 过滤器过滤出HTTP协议 2 分组列表中搜索post 3 分组字节流中找到flag。)
6 János-the-Ripper
下载下来是个压缩包,解压之后得到一个没有后缀的文件 misc100,用binwalk看一下发现是个zip文件
把misc100加上后缀zip,变成压缩包,解压里面有个flag.txt,不过解压需要密码,这时候想到了伪加密,放到winhex里看一下
试着改了几个地方发现不行,还是要密码。然后有用winrar里的修复工具搞了一下,不行,360压缩也不行。。。
百度之后知道了这回是真加密,我作为一个练习时长半个月的个人练习生难怪想不到。。。
找了一个爆破软件,我用的是ARCHPR,很快,一秒出结果,密码是fish
解压出flag.txt就能看到flag了
(之前只做过用burp爆破网页的题目,这是第一次爆破压缩包。其实题目已经给了提示,johntheripper是一款爆破软件,可惜我不知道。。。)
7 embarrass
解压下来是个30+M的压缩包,解压出来里面有一个pcapng文件,wireshark打开直接在分组字节流搜flag就找到了0.0
题解的比较无脑。搜索flag的时候发现有个flag.php和flag.doc,解题评论中有大神说这道题设计的本来还有点复杂的。。。
8 pure_color
下载附件得到一张png图片,点开只看到一条横线
试着放到stegsolve里,在下面切换通道那里一直点,点到某通道的时候就看到了flag
9 神奇的Modbus
一开始先百度了一下modbus,是种通信协议
下载附件是个pcapng文件,wireshark打开,先搜的'flag',这回搜不到了。过滤出modbus协议,追踪tcp流,发现里面有flag,不过格式还需要自己改改。flag是sctf{Easy_Modbus}
(追踪tcp流这个操作第一次用。然后就是,题目描述中说了提交格式是sctf{XXX},如果一开始搜sctf而不是搜flag的话是能直接搜出答案的,以后要注意了)
10 Banmabanma
附件是个压缩包,解压出来是个png图片
首先想到放到stegsolve里,没发现问题,用binwalk看了一下发现有两个zlib,还去研究了研究怎么提取zlib文件,感觉有点难搞,就看了wp
攻防世界里所有wp用的方法都是扫码直接出结果
在线扫码地址
(可能还是经验少吧)