2401_87524087的博客

3、使用密码解压压缩包，得到18个.jpg图片，图片为跳舞的小人图形密码（出自于《福尔摩斯探案集》跳舞的小人），使用如下密码对照表，可以获得明文。1.下载附件，解压得到一个.txt文本，查看.txt文本的内容，似乎全部是十六进制的数据，在010Editor看一下。观察到.png文件的文件头与文件尾不相符，可能被修改了文件头。在010Editor中，使用“文件”选项卡的“导入16进制文件”选项，导入刚才的txt文件。是png文件头，但后面接的“JFIF”是jpg图片，结尾是jpg图片的文件尾。

没找到，试着将整个文件用其打开，发现是伪密码，（50 4B 01 02 1F 00 14 00 09 00)将09改为00，另存在桌面上再打开zip包，解后可以得到一个图片和txt文档，其中txt文中有与佛论禅的密文，在网页上在线解密可得到flag了。下载的zip包解压报错，显示他不是压缩包。在010editor中打开发现为PNG图片，同时文件尾直接可以看到flag值。打开文件，发现里面是一张图片和一个txt文件，txt文件需要密码才能打开。尝试将图片拖到010editor，

尝试用Audacity打开，将其放大，通过观察波形与声音应该是摩斯电码。宽的用线表示，窄的用点表示，间隔大的就空一格，按照上面的形式写在记事本.txt上，再复制粘贴在摩斯密码翻译器网页上，解码出flag。用盲文解密得到的压缩包密码打开压缩包发现music.wav，听声音像是摩斯密码。得到的解密不用写CTF，，(%ue按摩斯密码对照表应该是？宽的用线表示，窄的用点表示，间隔大的就空一格，按照上面的形式写在记事本.txt上，在复制粘贴，在摩斯密码翻译器网页上。26.假如给我三天光明。

分别输入http 1.php 发现"PK"，说明这是一个压缩包，将其导出分组字节流，文件命名为1.zip,用Bandizip打开，发现flag.txt但需要密码，尝试查找密码，在字符串处输password，查找无结果。发现在z2是16进制数。删除“z2=”，使其全为十六进制数，再打开010editor，点“文件”，“导入十六进制数”，发现JFIF，将其另存为1.jpg,再打开其图片。追踪TCP流，点右下角的"流"，换数字，在第七个流发现其中有16进制，然后在第七个流上加一条过滤，补上and http。

33.被劫持的神秘礼物。

(因初学者的我不了解，常常被别人的解析误导，白白耽误了一些没必要的时间，所以我决定要做一个超详细的解析)打开文件夹(77ed...)，有一个视频，一帧一帧的看，找出这三张图片，把图片上的字母输进去就可以了。在网页上搜索BUUCTF在线测评，打开注册账号，再点练习场，就可以做题了。只用把⭕圈起来的输进去就行了，没有其他多余步骤。(注意是he11o，不要输错)

在最上面点统计，再点第三行的协议分级，选择HTTP(Hypertext Transfer Protocol)，右键滑到“作为过滤器应用”点击“选中”，再返回原页面，这样就显示过滤了HTTP协议相关的数据包，根据题目发现是四位数字加密，直接将文件神秘龙卷风.rar用archpr打开，文件口令为5463，打开神秘龙卷风.txt发现是"+++.＞"的乱字符组合，复制粘贴到base在线解码软件上，先尝试解码，发现还是一串乱码，再尝试base转图片，转出图片，flag在图片上面。23.数据包中的线索。

打开文件，发现是flag.txt但显示需要密码，先使用archpr解密，发现打不开文件，显示"没有与搜索条件匹配的项"，再尝试使用010editor，修改压缩源文件数据区和目录区的09为00或者只将第一行第6个09 改为00 即可正常解压得到flag。(2)在(1)的基础上，在最上面点分析，再点追踪流，再点HTTP Stream，出现追踪HTTP流页面，在下方"查找"处输入flag，自动查找，如果不是，点"查找下一个"，直到找到flag内容为止，然后就可以复制flag。

base64,iVBORw0KGgo......gg==发现是base编码的形式，开头的提示说明是jpg格式的图片，复制粘贴到base64编码/解码-锤子在线工具(网页上直接搜索base64在线工具)，尝试图片处理，base64图片互转中，转化出来图片为二维码，扫描后得到flag。exe文件是二进制文件，包含已编译的计算机指令和数据。Base64编码的字符集使用了64个字符来表示二进制数据，包括A-Z（26个大写字母）、a-z（26个小写字母）、0-9（10个数字），以及两个额外的字符+和/。

打开文件，出现大白的图片，发现图片上的人物只有一半身子，猜测可能是图片隐写隐藏了高度，然后将图片放到010editor，第二行前1～4个00 00 02 A7代表宽度，第二行第5~8个00 00 01 00代表高度。然后再把文件另存，再打开，图片上人物有整个身体，会发现图片右下角有红色字母flag{He1l0_d4_ba1}(1)可以选择把高度的数字改成和宽度一样，都改为00 00 02 A7。(2)也可以选择chunk[1]然后是点右下角处，在其宽度处把数字改变。

搜索010editor官网，点第一个页面，下载010editor(十六进制编译器)(黄色图标)，直接010editor打开(或者使用stegSolve)一般情况用ctrl+f进入字符串搜索查看是否有插入的flag信息，就可以在文件尾看到flag是flag{stego_is_s0_bor1ing}

图片直接用010editor打开，在最上面"查找"搜索flag字符串，发现base64编码的flag，再将其内容(不要加flag base，只要其中的内容)复制到base64在线解码工具中，通过解码得出真正的flag内容。010Editor打开图片，找到文件尾的一串二进制有点奇怪，尝试将其转换为十六进制，得6b6f656b6a3374，再将十六进制转换为字符得koekj3t，即为flag。

由题目可知是4位数字加密的压缩包，把它从archpr打开，解码出文件口令为2563，解压后发现是base64形式的密文，用在线工具解码后得到flag。在图片上点右键查看属性，在图片备注中可以看到flag。

点击右键滑到“作为过滤器应用”点击“选中”，再返回原页面，这样就显示过滤了HTTP协议相关的数据包，可以看见左上方的应用显示过滤器的输入框内容也添加了”http“，现在只有29个数据包了，我们即将开始逐个分析，点击每一个数据包，观察下面的窗口。1. 观察分组数（wireshark右下角），如果分组数量较大我们就进行协议分级进行分析，数量较小就逐个人工查看（数量小协议分级效果不明显，但还是可以优先协议分级减小工作量）。优先协议分级减小工作量，根据协议分级的结果，我们优先分析数量多占比高的协议流量。