BUUCTF【提示篇】-[SWPU2019]我有一只马里奥

最新推荐文章于 2025-10-20 08:58:07 发布

原创最新推荐文章于 2025-10-20 08:58:07 发布 · 360 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#我有一只马里奥 #BUUCTF

为了给做题做到一半的hackers提供趣味性，所以开头先给这道题更多更明显的提示：

提示1：马里奥好像会产生文件.......

提示2：听说ntfs能隐藏不少东西，我正好试一试

提示完毕，这里先上简化知识点，后还原做题过程。

NTFS隐藏

NTFS允许一个文件拥有多个“数据流”。你可以把主文件想象成一条大河，附加文件就是一条条看不见的、汇入大河的地下暗河。一个正常的文件可以“寄生”另一个完整的文件。

做题WP

下载后是一个.exe

刚开始想着去壳，上逆向，发现不用这么麻烦，直接点击一下，就会生成一个1.txt

#1.txt
ntfs      
flag.txt

里面明确暗示NTFS，了解了之后，发现可以用来隐藏文件，文件名也告诉了是flag.txt

于是用Notepad 可以去Notepad++下载和安装教程（附安装包，图文并茂） - C语言中文网下载

 notepad 1.txt:flag.txt

就还原出flag.txt

swupctf{ddg_is_cute}

然后修改格式，变为flag{ddg_is_cute}

如果你不知道文件名，你可以先获取都隐藏了什么文件

Get-Item 1.txt -Stream *

得知隐藏了flag.txt 再执行 notepad 1.txt:flag.txt

同时另一种方法是，由于1.txt是由.exe搞出来的，我们可以直接在源头上就把俩文件分开提取出来，即

binwalk -e ./attachment.exe

直接把文件和附加文件提取出来

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

臻荣

关注关注

12
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

BUUCTF-MISC-[SWPU2019]我有一只马里奥~sqltest

七堇年的博客

11-12

5445

文章目录1.[SWPU2019]我有一只马里奥2.谁赢了比赛？ 1.[SWPU2019]我有一只马里奥 题目描述：得到的 flag 请包上 flag{} 提交。解题步骤：发现附件为attachment.exe，管理员运行后发现多出了一个1.txt，内容为ntfs flag.txt 根据提示查看ntfs流，在当前目录打开cmd，并输入notepad 1.txt:flag.txt 发现flag：swupctf{ddg_is_cute} flag{ddg_is_cute} 2.谁赢了比赛？题目描述：小光非

buuctf（misc）我有一只马里奥

m0_74381771的博客

08-30

637

我往一个里面写东西用户打开是看不到的写的这个东西就叫非主文件流而主文件流就可以直接显示就可以用命令。一个马里奥 因为我下载题的时候，我的目录里面全是题随用随删所以我这里面没有1.txt，打开看一下发现。但是做所有的题先看属性下载下来看看藏没藏东西这一点容易忘记大家记住！看到这里就应该知道这是ntfs数据流隐藏了，至于是什么，你可以简单理解成。这条命令有局限性，就是你必须知道隐藏的文件内容是什么，局限性还是很大的。然后我直接点打开弹出一个我看不懂的东西然后我就到下载目录里面看，

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF---misc---[SWPU2019]我有一只马里奥

2201_75556700的博客

04-24

664

开发的专有日志文件系统。根据它的提示，应该是把flag.txt文件给保护了。5、接着右键打开终端并使用下面指令来查看ntfs数据流中文件的信息。2、运行之后可以看到桌面生成了1.txt文件，文件里面有如下内容。（New Technology File System）是一种由。4、在桌面建一个文件夹存放1.txt。1、下载附件是一个.exe文件。

buuctf-misc-[SWPU2019]我有一只马里奥

weixin_46079186的博客

07-28

719

一个exe 文件，运行生成了一个txt文件提示ntfs ntfs 流，打开所在目录cmd， notepad .\1.txt:flag.txt

BUUCTF-[SWPU2019]我有一只马里奥

最新发布

2502_90869383的博客

10-20

296

文件分离，binwalk分离文件。

BUUCTF：[SWPU2019]我有一只马里奥

末初 · mochu7

10-05

3822

题目地址：https://buuoj.cn/challenges#[SWPU2019]%E6%88%91%E6%9C%89%E4%B8%80%E5%8F%AA%E9%A9%AC%E9%87%8C%E5%A5%A5 题目下载下来是一个exe 运行得到1.txt NTFS流隐藏文件，使用工具NtfsStreamsEditor 导出文件flag.txt swupctf{ddg_is_cute} ...

BUUCTF [SWPU2019]我有一只马里奥 1

YueXuan_521的博客

11-23

1493

BUUCTF [SWPU2019]我有一只马里奥 1 或AlternateStreamView打开存放1.txt文件的文件夹，扫描出现隐藏文件文件，导出后打开，得到flag。2、提示我们这是一个NTFS交换数据流的宿主文件，内部可能隐藏一个flag.txt文件。有两个方法可以得到flag.txt文件的内容。在1.txt文件所在的文件夹，右键选择“在终端中打开”，打开命令行输入以下命令，回车打开flag.txt文件。1、双击.exe文件运行，得到一个1.txt文本。下载附件，得到一个.exe文件。

ctf题集【BUUCTF MISC】[SWPU2019]我有一只马里奥

qq_42667028的博客

11-22

356

下载文件后，老规矩查看属性并扔进010查看，怀疑还藏有其他文件，扔进kali中binwalk。发现最后一个rar中有flag，也没有解压密码，成功get。binwalk -e 分解出来。

BUUCTF misc 专题（53）[SWPU2019]我有一只马里奥

tt_npc的博客

04-15

2812

下载下来是一个exe文件，我们将它运行运行出来的1.txt文件内容是这样的，很明显的提示了，NTFS数据交换流这里将知识点列给大家 ‘’ 根据知识点可知用命令 notepad 1.txt:2.txt 这里需要吧文本放入一个文件夹中再在文件夹中打开终端执行命令得到答案swupctf{ddg_is_cute} 同时如果有NtfsStreamsEditor的师傅们可以用这个工具，会方便很多能直接扫描出来，该工具会报毒，关了防火墙继续执行就ok 还看到有师傅是binw...

【buuctf--我有一只马里奥】

ncnfjdjjd的博客

02-22

1105

ntfs 流查看

BUUOJ-MISC-[SWPU2019]我有一只马里奥

没有任何buff的小菜鸡的博客

01-25

1181

又是无聊的随便刷刷题哈下载是个exe文件，binwalk发现里面有东西，用zip打开发现可行 emmmmm 直接就得到flag了 swupctf{ddg_is_cute} 换成flag{}头就好了去搜了一下writeup hmmmm 考点是NTFS流隐藏文件，使用工具NtfsStreamsEditor即可就不放出来了 https://blog.youkuaiyun.com/mochu7777777/article/details/108934265 ...

buuctf-misc-[SWPU2019]Network1

mlws1900的博客

09-27

787

发现是base64加密套娃，用个脚本跑一下。下载得到一个txt文本，打开查看。发现pk改zip，和上面的一样。这个代码获得txt的格式。

buuctf-misc-[SWPU2019]神奇的二维码1

mlws1900的博客

09-16

2458

看到最后看到一个mp3文件，开始文件分离（用windows系统的foremost无法分离文件）用kali的binwalk进行分离。观察到多个rar文件和类似base64编码的内容。这个加密一直套，套了十几层，手解的话人麻了。利用au打开mp3，长短音用莫斯电码解开。解完我看了其他大佬的wp，找到一个脚本。利用二维码工具进行扫码，获得信息。flag不在此，用winhex打开。解出的就是第四个rar文件的密码。一个图片和一个无法打开的f图片。进行base64解码。第一个rar文件打开。进行base64解码。

[BUUCTF]Reverse——[SWPU2019]ReverseMe

mcmuyanga的博客

04-12

2354

[SWPU2019]ReverseMe 例行检查，32位程序，c++写的，无壳本地试运行一下，看看大概的情况程序里有好多复杂的函数，静态分析有点难度，这边选择动调理一下程序逻辑。汇编动调小白，简单记录一下自己的调试过程。找到程序的入口点，在这边下断点，f8单步直到让我们输入运行到call sub_CF37B0的时候开始让我们输入了，输入结束后将ebp-0x90处的值跟0x20比较，更改ZF标志位，0xCF28C7处的jz会根据这边的情况进行跳转，如果ZF标志位为0，则跳转，否则就会输出Try

BUUCTF [SWPU2019]EasiestRe

weixin_53349587的博客

01-04

1043

双进程保护父进程用于调试运行子进程，遇到int3指令进行处理 int __usercall sub_978BC0@<eax>(int a1@<xmm0>) { ProcessInformation.hProcess = 0; ProcessInformation.hThread = 0; ProcessInformation.dwProcessId = 0; ProcessInformation.dwThreadId = 0; sub_971EFB(

BUUCTF-Misc 我有一只马里奥 NTFS交换数据流隐藏文件

想喝奶茶的胖大海

04-07

2168

寄生一: echo 写入内容>>宿主文件:交换数据流文件（寄生文件） echo ever>>1.txt:2.txt 2.txt为echo创建出交换数据流文件,ever在2.txt中寄生二： type 交换数据流文件（寄生文件）>>宿主文件夹：交换数据流文件（寄生文件） type 2.txt>>temp:2.txt temp为空文件夹,执行后2...

CTF类题目复现总结-[SWPU2019]我有一只马里奥 1

weixin_42487326的博客

04-01

336

CTF类题目复现总结-[SWPU2019]我有一只马里奥 1

BUU杂项

qi_SJQ_的博客

10-31

489

ps：重点不在解题/写writeup而在于吸收/记住题背后的知识点。 1.[SWPU2019]我有一只马里奥： NTFS流隐藏文件，(1）直接cmd中解密 (2）工具：知识点：NTFS流隐写（https://www.cnblogs.com/Chesky/p/ALTERNATE_DATA_STREAMS.html）（https://blog.youkuaiyun.com/qq_45836474/article/details/111074356） 2.BUU [谁赢了比赛？]: 刚看照片以为是将黑棋白棋当成0,

[SWPU2019]我有一只马里奥

yuangun_super的博客

07-27

390

解压得到一个.exe文件，运行出现一个txt 一筹莫展，参考了下大佬的wp，用工具NtfsStreamsEditor 搜索后导出，得到 swupctf{ddg_is_cute}

Head First C#中文版翻译 - SWPU崔鹏飞

Mike是书中的一个角色，他是一个热衷于展示C#技能的程序员，正面临一场面试。为了不迟到，他依赖自己编写的车辆导航系统。这个系统体现了对象导向编程的思想，将导航功能封装在一个名为Navigator的类中。Navigator类...