【CTF-Misc】积累思路篇

已于 2023-03-30 15:21:57 修改
阅读量620 收藏 2
点赞数 1
分类专栏: CTF初学 文章标签: word
于 2023-03-30 15:19:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LeeOrange_45/article/details/129846317
版权

0x1:word文档损坏 winhex修复解密

        【粽子的来历】

        

        先在二进制编辑器里头发现这么依托不对劲,然后将其改为FF(因为这一块儿都是FF,索性也改成FF)

                 

 修复之后就可以打开了,里面是这个。关于行距有两个取值,一个是1.5一个是1,分别对应1 和0我确实想不到!!!积累思路了。一共有4个这样的文件,都打开去看他们的01串

        得到4个01串之后,按照题目给的,转换成MD5加密形式就行了。(4个字符串到底哪个可以,得要一个一个试,最后是第三个可以的,没问题的我试过了。)

0x2[RCTF2019]draw1

cs pu lt 90 fd 500 rt 90 pd fd 100 rt 90 repeat 18[fd 5 rt 10] lt 135 fd 50 lt 135 pu bk 100 pd setcolor pick [ red orange yellow green blue violet ] repeat 18[fd 5 rt 10] rt 90 fd 60 rt 90 bk 30 rt 90 fd 60 pu lt 90 fd 100 pd rt 90 fd 50 bk 50 setcolor pick [ red orange yellow green blue violet ] lt 90 fd 50 rt 90 fd 50 pu fd 50 pd fd 25 bk 50 fd 25 rt 90 fd 50 pu setcolor pick [ red orange yellow green blue violet ] fd 100 rt 90 fd 30 rt 45 pd fd 50 bk 50 rt 90 fd 50 bk 100 fd 50 rt 45 pu fd 50 lt 90 pd fd 50 bk 50 rt 90 setcolor pick [ red orange yellow green blue violet ] fd 50 pu lt 90 fd 100 pd fd 50 rt 90 fd 25 bk 25 lt 90 bk 25 rt 90 fd 25 setcolor pick [ red orange yellow green blue violet ] pu fd 25 lt 90 bk 30 pd rt 90 fd 25 pu fd 25 lt 90 pd fd 50 bk 25 rt 90 fd 25 lt 90 fd 25 bk 50 pu bk 100 lt 90 setcolor pick [ red orange yellow green blue violet ] fd 100 pd rt 90 arc 360 20 pu rt 90 fd 50 pd arc 360 15 pu fd 15 setcolor pick [ red orange yellow green blue violet ] lt 90 pd bk 50 lt 90 fd 25 pu home bk 100 lt 90 fd 100 pd arc 360 20 pu home

根本不会!

Logo Interpreter 👈logo解释器扔进去才可以

这就是了

 0x3[SCTF2019]电单车 1

是一个音频文件利用AdobeAudio那个打开

 这个我熟悉了!按照他的那个粗细变成01代码:

0          0111010010101010011000100    011101001010101001100010

然后不对!因为PT2242信号:前面4bit表示同步码,中间的20bit表示地址码,后面的4bit表示功能码,最后一位是停止码。

0。。。01110100101010100110。0010。0

👆这里为啥有四位有人知道不 (0 。 。 。 )

                 所以只要中间的黑色的:

                flag{01110100101010100110}我真的不会真的想不出来啊啊啊!

0x4.内存取证:[HDCTF2019]你能发现什么蛛丝马迹吗1

        

         给了我光盘映像文件img格式的想着用winhex来看看,emm我看不出花

        (总结别人的做法)

        打开kali的volatility来做。

        1.查看img的版本

vol.py -f ./memory.img imageinfo

        因为我的volatility安装有亿点点问题,刚运行的时候会有很多的Failed to……俺也不知道为啥,就耐心等等(3~5min)会显示想要的东西(BTW,为啥我会有很多的Faied to 啊,我把显示的贴在下面,求大佬解释)

Volatility Foundation Volatility Framework 2.6.1
*** Failed to import volatility.plugins.registry.shutdown (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.getservicesids (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.timeliner (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.malware.servicediff (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.userassist (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.getsids (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.shellbags (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.evtlogs (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.tcaudit (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.shimcache (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.dumpregistry (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.lsadump (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.amcache (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.malware.svcscan (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.auditpol (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.registryapi (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.envars (ImportError: No module named Crypto.Hash)

👇我们要观察的内容

INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win2003SP0x86, Win2003SP1x86, Win2003SP2x86
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (/home/lsd8058055/桌面/memory.img)
                      PAE type : PAE
                           DTB : 0xe02000L
                          KDBG : 0x8088e3e0L
          Number of Processors : 1
     Image Type (Service Pack) : 1
                KPCR for CPU 0 : 0xffdff000L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2019-04-25 08:43:06 UTC+0000
     Image local date and time : 2019-04-25 16:43:06 +0800

可以发现哈,Suggested Profile(Line 2) 有好多,也就是说支持的配置文件有这三个。

        2.指定版本查看内部内容

vol.py -f memory.img --profile=Win2003SP1x86 pslist

确实挺多的内容的哈。不过我们可以看到,图片里头最后一个文件的名字很奇怪,他太规整了,难道不是嘛??????

         3.我想查看那个文件(DumpIt.exe)的内容

vol.py -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=./

        通过这条指令,就可以把那个dump(转储)出来。

这种dmp的文件,直接打开就是wireshark了,但是打开报错了…………

binwalk看一下里头隐藏了啥文件

binwalk <文件名>

 确实好多东西啊,我们可以foremost把他们全部分离出来

foremost <文件名字>

出来之后,在output文件夹里头:

挨个看看都有啥。其他的我都点了进去看了看,打不开…………but!!!!png

        4.png的解密

        二维码就扫,还能咋办啊

        好消息!好消息!特大好消息!两个二维码扫出来的都是一样的

jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

        那两张白色图片也都是如下图:

       

        感觉答案呼之欲出啊啊啊!!!!!!!!!!

        我以为是base64加密,但是想想嗷,base64加密为啥要给我key和iv。

        虽然我不知道iv和key是啥,但是我会搜索

        我知道不是加密锁,也不是java 也不是那个数据块因为都没有我想要的,我知道aes加密哟

        

 AES解密一波

         这道题收获挺大的。1:img格式用volatility2.volatility的使用3.foremost4.aes加密(aes加密一般都会有iv偏移向量和key的!)

【我想下次弄个流量分析】

0x5流量分析:[SUCTF2019]protocol1(还在想+看攻略)(看下次的流量分析的套题吧……)

USB流量分析学习资料:CTF流量分析之题型深度解析 - 腾讯云开发者社区-腾讯云 (tencent.com)

ctf-misc 个人笔记(有空闲更新)
2401_87299253的博客
09-21 871
(二维码就不放了)可以得到第一个清晰的图片是有5625个像素点,第二张是有625个,说明第一张的图片像素点九个就组成一个,说明第一张图片长宽是第二张的三倍(属性中也可以看出来)第一种方法是根据大佬的思路,把第一个图片以间隔为3读取像素点,第二个图片直接读取像素点,分别转换成2进制,这样两个图片的数据就一样长, 可以全部异或,最后再把得到的数据转成二维码放大三倍就能出真正的二维码,直接扫出flag。除常见的base64外,还有base32,base16,base100等,各自有各自的特点。
【安全攻防知识-4】CTFMISC
qq_26579613的博客
03-24 4万+
1MISC介绍 MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。 2、隐写术 隐写术包括图片、音频、视频等文件隐写,在处理这类问题时,应优先确认该文件的实际类型,可参考下图,查看其文件头信息。 常用以下工具: 1、010editor 查看文件类型 2、Binwalk 合并文件 3、Notepad++ 进行
DJBCTF MISC writeup(部分)
时间大幻剧的博客
01-26 641
目录牛年大吉十八般兵器碑寺六十四卦AA86请问大吉杯的签到是在这里签吗拼图v2.0 牛年大吉 首先下载下来一个vhd文件,是硬盘镜像文件,那就拖到DiskGenius恢复一下。 得到一个!lag.7z的文件。 翻阅一下里面的文件,还能找到一个png图片。 将两个文件都拿出来,打开压缩包,发现里面的文件是加密的,hint提示密码在文件头里(注意是文件头里,不是文件里头!) 然后拿png图片捣鼓了半天,最后发现密码真的就是PNG文件头。 最后拿到flag。 十八般兵器 这题首先下载到一个没有后缀名的
windows下的volatility的内存取证分析与讲解
cuihua的博客
04-03 1万+
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
[HDCTF2019]你能发现什么蛛丝马迹吗
2401_86835152的博客
03-27 190
misc 第5页
Volatility2.16 安装常见问题
qq_59706867的博客
12-05 924
具体操作可以看着连文章 Kali Linux下Volatility2.6常见问题疑难杂症-内存取证信息安全管理与评估-优快云博客 Kali Python2.7安装pip2和模块方法_kali安装pip2-优快云博客
内存取证-volatility工具的使用 (史上更全教程,更全命令)
路baby的博客
10-20 10万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
CTF比赛中常见的MISC解题方法
EaSoNgo111的博客
05-09 3572
可以看到1.png这个图片的文件头,那我们现在需要寻找文件尾,按ctrl+f,查找文件尾AE 42 60 82,如果图片里隐藏了数据,那么文件尾后就会藏有文件:大多数时候都是pk开头的文本格式,这就是压缩包,所以把这个图片扔到binwalk或者foremost里分离一下(嫌麻烦的可以直接将这个1.png文件改后缀),如果是隐藏了zip,直接将1.png改名为1.zip。(一)鼠标右键查看属性,最简单的题目是属性里备注给出了flag或者各种编码(编码解法在最上面我说过的)文件尾,50 4B.
CTF-Misc领域】CTF-Misc核心题型与工具入门教程:涵盖图片隐写、压缩包分析、流量分析等实战技巧及学习路径指导
05-14
使用场景及目标:①了解并掌握CTF-Misc类题目的解题思路与常用工具;②通过实际案例练习,增强对不同类型隐写技术的理解和应用能力;③熟悉并能独立完成从工具安装配置到具体题目解答的完整流程。; 阅读建议:建议...
网络安全CTF-Misc题目解析与实战技巧:计算机安全杂项挑战的应对策略
最新发布
05-14
内容概要:本文深入探讨了CTF(Capture The Flag)竞赛中Misc(杂项)类...其他说明:CTF-Misc题目虽然形式多样,但通过不断练习和积累经验,可以有效提升计算机安全技能。保持好奇心和持续学习的态度是成功的关键。
如何做CTFMISC的图片隐写,CTF图片隐写入门
Scalzdp的专栏
10-18 1378
最近参加了几场CTF比赛,有网鼎杯,也有行业内部的信息杯比赛,题目有难有易,但大体思路都异曲同工。虽然我接触CTF时间不长,在做题过程中还积累了很多做题笔记获得一些破解CTF隐写的方法,虽然不全,但是作为点滴记录也是非常不错的。我们先了解一下什么是CTFCTF(Capture The Flag)是一种网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行竞技的方式。
20220207-CTF-MISC-11--- base64隐写--附带脚本
qq_51550750的博客
02-07 1万+
攻防世界- MISC新手区–第11题–base64隐写 下载之后解压,是stego.txt 打开stego.txt 显然是base64编码之后的结果,base64解码,我还百度翻译了一下,也没什么发现。 于是想办法,因为没有MISC的基础,就去看了WP,知道是base64隐写。于是查阅资料了解了一下。 base64隐写的原理 (1)起因: 俄罗斯有个叫 Olympic_ctfCTF, 在 2014 年有道 misc 题是关于 Base64 的隐写题. 大意就是给了你一段字符串, 让你找 fla
CRYPTO-2BJDCTF2020-伏羲六十四卦
HAI_WD的博客
07-08 1548
可以拿到一个bl1oXF1ra2FbW2VpV1dfUmBiT11dYE5NVVdXSUZYSFVDUA==首先知道六十四卦的转换,就是每一卦都换成六位二进制,不知道谁能想到,反正我想不到。解密函数:Y=(AX+B)%26,得到:X=(A的逆元)*(Y-B)%26。然后6为换成8为,转换为字符,也就是转换为base64的过程。加密函数:Y=(AX+B)%26
buu的几道misc
qq_44640313的博客
04-20 354
VeraCrypt挂载和内存分析和AES解密,TLS协议
关于“ No module named Crypto”问题的解决
Burgen的博客
03-16 9957
我的环境是WIN10+python2.7 今天运行一个Python程序,结果报错:“ImportError: No module named Crypto”,提示缺少Crypto模块,检查自己的python安装文件。python2.7-&gt;Lib-&gt;site-packages,发现果然没有Crypto包。 于是我直接去cmd命令行中使用"pip2 install Crypto"命令安...
BUUCTF [RoarCTF2019]forensic
../../../../../../../
10-12 1485
打开 下载到mem.raw 把mem.raw放入kali volatility查看镜像 volatility -f mem.raw imageinfo 建议用profile, 后面用Win7SP1x86 查看内存进程: volatility -f men.raw pslist --profile Win7SP1x86 发现有几个进程 了解发现: TrueCrypt.exe是一款磁盘加密工具,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。 notepad.exe windows自带记事本
BUUCTF:[RCTF2019]draw
末初 · mochu7
04-07 2555
cs pu lt 90 fd 500 rt 90 pd fd 100 rt 90 repeat 18[fd 5 rt 10] lt 135 fd 50 lt 135 pu bk 100 pd setcolor pick [ red orange yellow green blue violet ] repeat 18[fd 5 rt 10] rt 90 fd 60 rt 90 bk 30 rt 9...
python模块以及导入出现ImportError: No module named 'xxx'问题
热门推荐
我的新博客
02-23 57万+
python中,每个py文件被称之为模块,每个具有__init__.py文件的目录被称为包。只要模 块或者包所在的目录在sys.path中,就可以使用import 模块或import 包来使用 如果你要使用的模块(py文件)和当前模块在同一目录,只要import相应的文件名就好,比 如在a.py中使用b.py:  import b  但是如果要import一个不同目录的文件(例如b.
Import Error No module named Crypto.Cipher问题解决方案
把握自己。
08-29 1万+
from Crypto import Random 问题 from Crypto.Cipher import AES 问题 在导入以上两条语句中,出现问题,显示出现无法找到crypto包,按照提示,加入crypto包,然后还是出现这个问题。 问题解决参考以下链接: http://stackoverflow.com/questions/19623267/importerror-n
掌握F5刷新技巧:CTF-misc必备网络工具解析
资源摘要信息:"CTF-misc中的F5刷新可以使用到的工具" 在网络安全领域,CTF(Capture The Flag)比赛是选手们展示和提高技术能力的平台。CTF比赛通常包括多种类型的问题,其中包括MISC(杂项)类别,这类题目往往...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LeeOrange_13

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值