CTF招新考试

最新推荐文章于 2024-12-17 10:17:59 发布
最新推荐文章于 2024-12-17 10:17:59 发布
阅读量964 收藏 5
点赞数 1
CC 4.0 BY-SA版权
文章标签: p2p 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BL_zshaom/article/details/121712889
本文介绍了多种隐写术技术,包括图片属性检查、文件类型转换、010编辑器使用、LSB隐写等,并通过实例解析了如何从图片、文档、压缩包中提取隐藏信息。同时,涉及了base编码家族、摩斯密码、PHP弱比较等知识,展示了在实际解密过程中的策略和技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. 简单的隐写

  2. 海贼王里的宝藏

  3. 找你妹啊!

  4. 大佬的奇妙冒险

  5. 简单的压缩包

  6. EZbase

  7. 四凯撒还是四栅栏?

  8. 动听音符

  9. 小兔子

  10. EZphp

一, 简单的隐写

下载附件后发现这是一张图片

 

 对于图片的隐写类型,就我目前的水平的来说(菜鸡🐔在说):

(1)首先查看图片的属性,查看其详细信息,看是否有提示。

(2)图片分辨率的改写:有的问题会把图片的高度,宽度改写,从而达到隐藏flag的目的 

(3)图片的文件类型改写:将图片改为txt类型,在文本里查找flag也能找到。

 (4)图片010文本:flag可能隐藏在图片010里的文本里.

 比如就这道题而论,用txt类型查找可得出:

 

比如就这道题而论,用010文本查找可得出:

 

 二、海贼王里的宝藏

下载附件后,里面有一个文档内容如下:(为方便起见我👴给换行了)

 明显就是🐻曰,翻译一下得到:

 这。。这不。。这不就是路飞吗!!!(尖叫!!!)

再打开图片

 根据第一题的理论,我们发现将图片的分辨率不是统一的

并且转换为txt文档后也无法找到flag,那么就试试改变宽高吧。

用010打开图片并修改宽高为一致

 即可找到flag

三、找你妹啊!

下载附件后有一个real flag文本,打开后发现

 

 是核心价值观编码

 解码后得到

 说明是假的,但他说是假的就是假的吗???我们一定要有质疑精神!!!

所以我们提交上去后发现雀氏不对

然后还有第二个文件,是一张照片。

 根据第一题的理论,我们可以先查看其属性,

 这说明这张图片不简单,我们可以先将其转化为文本类型,结果找不到flag,我们再改变其高度和宽度发现也改变不了,那么就剩最后一种情况了,查找010文本,结果得到flag

 四、大佬的奇妙冒险

下载附件后,我们得到一个文本和一个压缩包,首先打开文本得到

 我们先打开第一个网站吧(然后发现咱们被骗了)下面是网站

bilibiliicon-default.png?t=LA92https://www.bilibili.com/video/BV1gV411i7vq?share_source=copy_web

很好,第二个字符串有大小写、数字、还有字符,咱们用base64解码得到

 说明要对压缩包进行伪加密的破解

对于压缩包的隐写,就我目前的水平来说(菜鸡🐔又要说了):

(1)遇到伪加密我们将第二个加密标记位的09 00改为00 00即可打开压缩包(头部加密 第7,8位,身部加密第 9,10位)

(2)Zip密码爆破,若无部分密码提示仅有范围用暴力破解,知道了部分密码用掩码破解

所以有解码后的结果可知,这个是伪加密,所以我们用010打开

查看其头部:                                     查看身部:

                    

 

 有错误,其头部应该是0304而不是0506               发现身部第9、10位出现伪加密,0100改为0000

将上述问题改正

打开文件得到一张好图(😘😘😘❤❤❤)

 对于图片的隐写,我(菜鸡🐔)在这里补充一个:

2,LSB隐写(我们可以通过工具Stegsolve.jar打开此图,然后通过下方的按钮切换到Gray bits,可以看到左上角出现了隐写在该通道的二维码,扫描二维码即可得到flag)

所以我用stegsolve软件打开图片

 然后疯狂点击下方的箭头找二维码,得到:

然后用二维码扫描软件找到flag即可(手机📱扫码也可以yo,毕竟是个二维码)

 五、简单的压缩包

 下载附件后,出现两个文件,一个txt文件,一个zip文件,首先打开txt文件得到

 由第四题的理论我们直接去用掩码破解,得到:

 输入密码后得到文本和压缩包,由文本可得:

那么再根据第四题的理论用暴力破解,得:

输入密码后得到😍😍😍

 六、EZbase

 做这道题之前,鄙人极其推荐一个博客,以下是链接:
版权声明:本文为优快云博主「FFM-G」的原创文章:
原文链接:https://blog.youkuaiyun.com/weixin_44255856/article/details/89792997

好了,我们下载附件后,打开得到

 可以看出有%则用url解码(有0x的也用url解码),得到:

 可以看出这是明显的摩斯密码(有的01010形式、ABBABA,也是摩斯密码,只不过要把A换成-或.),解出得到:

 这里就鄙人(🐔)浅显的知识补充一下:(其实看上面的博客比我这个好太多了😓😥😱)

base家族(这道题所用到的):

64:大小写加数字可能字符,最多3个
32:只有大写和数字,最多6个=
16:只有数字和大写A-F

58 采用数字、大写字母、小写字母,去除字符 0、O、I、l。

 所以用base32解码,得到:

 再用base64解码,得到:

 再用base58解码,得到:

 再用base16解码,得到:

 最后再用base64解码,得到flag:

 七、四凯撒还是四栅栏?

由题意可知道,要么先用栅栏的四个栏数解码,要么用凯撒的四个偏移量。

        

 穷举法还是yyds啊😀😀😀

八、动听音符

 由题意就知道用音符解码即可

 解出的答案明显是base64,解得flag:

 九、小兔子

由题意得,用rabbit解码

但是直接解码得话,会显示需要密码,如下图:

 那么,仔细审题

 今天???!!!

所以密码应该是考试当天的日期,即可的到flag

十、EZphp

打开题目链接后可看到

 可以看出这道题是运用了php的弱比较,以下是鄙人(🐔)的浅见:

==:先将字符串类型转化为相同,再比较

===:先判断字符串类型是否相同,再比较

字符串和数字比较使用==时,会将字符串转化为数字再比较

举个例子:

‘a'==0  true:此时a字符串类型转化为数字。字符串的开始部分决定值,而a字符串开头没有数字却为0.这是因为,字符串开始部分的值决定它的值,而此字符串前面并没有数字,故自动转化为0。

’123a123'==123  true:这就是开始部分的值决定此字符串的值了

‘1234a’==123 false

 打开网页发现代码首先是用get方法读取一个变量a,而要为了让flag显示就要运行代码echo

而要运行代码echo就要使两个if语句为真。

第一个if语句是要使is_numeric()判断变量a是否为数字

第二个if语句是要带a的字符串的值==比较是否为8848

这就是说:

满足第一个条件:带的字符串的值必须是个数字,如1a,12a,123a。

满足第二个条件:字符串数字的值必须是8848,故有8848a,8848a8848。

 即可解出flag

稚少莽...
关注
网络安全最CTF题目合集_网络安全ctf大赛题库(1),2024年最网络安全高级面试题2024
2301_82257383的博客
05-15 1785
carrayjsondecodecm]):使用isnumeric函数检查数组d===false?
参加CTF比赛一定要知道的事情,别再盲目打比赛了!
yeshifu1024的博客
10-01 941
参加CTF必知的事情
ctf网络安全攻防练习题
12-04
ctf网络安全攻防练习题 从N=NP能得到的结论当然是N=1或者P=0,然后结合图片内容,猜测此题跟二进制01有关,信息应该藏在像素中等等
CTF-综合测试(高难度)【超详细】
m0_61101264的博客
08-30 443
随着Web2.0、社交网络、微博等等一系列型的互联网产品的诞生,基于Web环境的互联网英语越来越广泛,企业信息化的过程中各种英语都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更严重的则是在网页中植入恶意代码,使得网站访问者收到侵害。
2024最全CTF入门指南、CTF夺旗赛及刷题网站(建议收藏!)
bdfcfff77fa的博客
08-02 2137
参与当下举行的ctf赛事是最好的学习方法之一,即使是初学者也能够找到一些适合自己能力的赛事,比如极客大挑战、UNCTF、各个大学的生赛等等都是不错的选择,在比赛中去发现自己知识的不足,然后去针对的补充这部分知识,是很好的学习循环,无需迷茫的去到处获取知识,而是在需要时去学习。我们web狗学习的第一个漏洞一般都是SQL注入,它是web安全经典中的经典,也是在这里被灌输 “永远不信任用户的输入” 的口号,即使是现在sql注入也依旧存在,并且它还在不断衍生出如nosql注入、ORM注入等,可谓防不胜防。
CTF是什么?一文带你读懂网络安全大赛
xx16755498979的博客
06-10 3028
现在的CTF比赛一般由专业队伍承担比赛平台、命题、赛事组织以及拥有自动化积分系统。参赛队伍需提交参赛申请,并且由DEF CON会议组织者们进行评选。比赛侧重于对计算机底层和系统安全的核心能力。
CTF题目合集
cgygsw的博客
01-26 5025
在给定的代码中,call_user_func_array(array($this, $this->method), $this->args) 的作用是调用对象 $this 的方法 $this->method(也就是调用ping函数的方法 也就是destruct下面那个ping函数),并将 $this->args 数组作为参数传递给该方法。反序列化之后就会调用wakeup这个函数 : 这个函数的内容 是对参数的内容进行了循环遍历 执行WAF函数的内容。
CTF真题-Dest0g3CTF2022
06-01
CTF真题-Dest0g3CTF2022赛,来自BUUCTF
CTF show萌题系列
12-22
题目地址:https://ctf.show 0X01 萌_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出...
CTF隐写姿势:PNG图片在HTTP流量中的分片传输技巧.pdf
最新发布
05-27
从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB 隐写,在虚拟战场中提升网络安全...
CTF题库超详细资源合集
06-14
ctf题库 CTF 题⽬类型⼀般分为 Web 渗透、RE 逆向、Misc 杂项、PWN ⼆进制漏洞利⽤、Crypto 密码破译。 在传统的CTF线上⽐赛中,Web类题⽬是主要的题型之⼀,相较于⼆进制、逆向等类型的题⽬,参赛者不需掌握系统...
基于Python技术的CTF入门指南设计源码
10-11
本项目《基于Python技术的CTF入门指南设计源码》的推出,正是针对广大CTF初学者设计,目的是帮助他们顺利入门,快速提升实战技能。 该指南内容丰富,形式多样,包含了多达128个文件,其中包括101个PNG图片、14...
表情转码解码
09-14
表情存入数据库需要转码,从数据库取出来,需要解码,然后才能渲染在页面
CTF题库>robomunication
qq_42777804的博客
08-13 1959
We recorded the following file between two robots. Find out what evil things they are plotting, and recover their secret key! 翻译后为 我们在两个机器人之间录制了以下文件。找出他们正在策划的邪恶事物,并恢复他们的秘密钥匙! 下载后解压后的文件为 欣赏一下MP3...
CTF | CTF比赛题解分享
hackzkaq的博客
10-09 8897
前言:由于此次比赛的题目较多,所以这是这个比赛的第一篇wp,共20题,先记录一下,防止忘记。里面有些题目是手题较为简单,但也有许多有意思的题目,真的是做的过程痛不欲生,做完才感觉到酣畅淋漓,废话不多说,开写。接下来就可以定位了。1.这次显示文件是个jpg格式的图片,但是打不开,16进制编辑器打开,看到文件头出现了IHDR头,就可以想到其实是个png格式的图片,再看到文件尾,更加证实了是个png文件。4.第三张照片是最头疼的,全都是高楼,能够看到的只有广西农信,时代丽都,搜索相关位置,找到了大概区域。
手必看——ctf六大题型介绍及六大题型解析&举例解题
2401_85025893的博客
12-17 756
意为“夺旗赛”,是一种信息安全竞赛形式,广泛应用于网络安全领域。CTF竞赛通过模拟现实中的网络安全攻防战,让参赛者以攻防对抗的形式,利用各种信息安全技术进行解决一系列安全问题,最终获得“旗帜(Flag)”来获得积分。Jeopardy(解题模式):参赛者通过解答题目,获得Flag,从而获得积分。这些题目通常涵盖了信息安全的多个领域,难度从基础到高级都有,适合各个层次的选手。Attack-Defense(攻防模式):参赛者组成团队,进行攻防对抗。
ctf网络安全大赛web
qq_45721814的博客
11-09 4692
CTF竞赛模式分为以下三类: 一、解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。 二、攻防模式(Attack-Defense)在攻防模式CTF赛制中,...
CTF学习建议
hungryfoolisher的博客
05-27 1804
一、训练场 1.http://www.wechall.net/challs 2.http://www.shiyanbar.com/ctf 3.http://ctf.idf.cn/ 4.http://oj.xctf.org.cn/ 5.http://hackinglab.cn/ 6.http://www.baimaoxueyuan.com/ 7.http://c
网络安全:CTF入门必备之题型介绍
Y525698136的博客
03-03 9223
CTF 题目类型一般分为 Web 渗透、RE 逆向、Misc 杂项、PWN 二进制漏洞利用、Crypto 密码破译。
ctf战队
03-13
### CTF战队成员的要求 CTF战队在成员时通常会关注候选人的技能水平和技术背景。对于有意向加入的人,战队可能会考察其编程能力、逆向工程、密码学基础以及网络攻防等方面的知识和实践经历[^1]。 为了评估潜在成员的能力,一些队伍可能还会设置特定的任务或者测试题目给申请者完成。这些任务旨在检验候选人解决实际问题的能力及其对安全工具和技术的理解程度。此外,团队协作精神和个人态度也是重要的考量因素之一,因为成功的CTF比赛不仅依赖于个人的技术实力,更取决于整个团队的合作效率[^2]。 ### 寻找CTF战队并成为其中一员的方法 想要加入一支活跃且专业的CTF战队,可以通过多种渠道获取信息: - **社交平台**:许多知名的安全研究者和CTF选手会在Twitter、微博等社交媒体上分享自己所在团队的消息;也可以参加各类信息安全会议或活动期间结识志同道合的人士。 - **在线社区**:像GitHub Discussions、Reddit r/ctf子版块这样的地方聚集了大量的爱好者讨论各种话题,从中可以发现正在贤纳士的工作室或小组。 - **学校社团**:如果是在校学生,则可留意本校是否有专门从事网络安全竞赛的学生组织,并积极参与它们举办的培训课程与内部选拔赛。 - **官方公告**:部分大型赛事主办方也会公布参与单位名单,联系感兴趣的队伍询问是否开放外部人员加盟的可能性也是一个不错的选择[^3]。 ```python # 示例代码用于展示如何在网络爬虫中查找公开聘信息(仅限合法用途) import requests from bs4 import BeautifulSoup url = 'https://example.com/jobs' response = requests.get(url) soup = BeautifulSoup(response.text, 'html.parser') for job_posting in soup.find_all('div', class_='job-post'): title = job_posting.h2.a.string.strip() description = job_posting.p.string.strip() if "CTF" and "recruitment" in description.lower(): print(f"{title}: {description}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值