CTF-RE-文件数据修复

最新推荐文章于 2025-10-23 01:13:07 发布
原创 最新推荐文章于 2025-10-23 01:13:07 发布 · 7.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

题目大致意图是:解密CTF.ctf文件,然后再从中找到flag。

由于.ctf文件损坏,并且解密程序可以判断.ctf文件损坏,因此首先选择逆向这个判断条件。

由于有打开文件的操作,所以可以ollydbg打开,找到CreateFile函数下断点

 

F9在CreateFile函数停止,发现下面有一串Readfile函数,这个函数被多次调用。显然是在读取文件中的信息。

找到离我们最近的一个ReadFile函数进行查看。

 

 

读完这个文件的头四个数据之后就直接开始判断文件是否符合条件了。从上图很容易看到解密程序判断.ctf文件的条件是看前4个字节是否为0x33465443,所以我们把这四个字节补进文件头部即可。注意一下小端序

补全文件头之后,用ida打开找到相应的地方。发现一共有这几个ReadFile函数

  

大致流程是:
1.读4个字节,这四个字节当作文件头(即刚才我们补进去的四个字节)

2.读4个字节,得到一个数a。

3.读a个字节,得到一串东西不知道干嘛的。

4.读16个字节,作为key进行校验。

5.读4个字节,当作读取文件数据的字节数b。

6.读b个字节,为文件数据,猜测和对文件的解密有关。

16进制编辑器将.ctf文件打开

知道数据总长度为0x61C0,而上图中有一个0x619C很接近数据的总长度,比较可疑。

计算发现0x619C之后的文件数据长度刚好为0x619C字节,因此可以知道0x619C为读取的文件字节数b。

那么说明0x619C前面6个字节的就是16个字节的key的后六位,我们查看一下和校验有关的函数

 

可以搜常数,发现是一个md5,并且对我们输入的加密密码执行了md5加密两次,然后再和.ctf文件中的key进行逐位验证。

题目中说明了是8位纯数字,因此我们跑脚本即可,算出来解密密码为20160610,然后我们把文件补全。

注意从文件开始的第5个字节,因为后面的长度都已知,因此可以推断出第二次Readfile得到的值为0x11

 

输入正确的key之后可以进行解密文件了,但是会弹出错误窗口,仔细看发现CTF\之后的路径没有名字,而我们文件的头部正好还有一块是没填充的,所以有理由相信这一块是解密后文件的名称,所以我们再修改一下文件头。

比如我在后面填上99,那么文件就会被解密到名为99的文件中,查看发现99文件是PK,所以加后缀名.rar,打开之后某个文件夹中会有一个图片格式的文件,点开就能有flag

 

CTF之——Misc_Disk 恢复
Jay
03-08 835
extundelete --restore-all 恢复出一个文件。1、打开文件 hex分析到有root 判断是Linux文件。5、我们看一下题目文件 还有没有其它东西 我们恢复看一下。这是之前那个图片的密码 don0tgu355p@sswd。extundelete 用到这个软件。4、我们拖到windows看 存在密码。这种情况就怀疑对PNG的宽高做手脚,CTF_Misc_Disk 恢复题。需要环境赛题等更多资源请私聊博主。需要环境赛题等更多资源请私聊博主。2、我们linux打开看一下。
CTF--2016XDCTF全国网络安全大赛之reverse2
关注互联网安全的小虾米一枚
03-13 7019
2016中国-XDCTF全国网络安全大赛 第七届全国网络安全大赛(XDCTF2016)暨第五届陕西省网络安全技能大赛
CTF简单的文件修复
热门推荐
Jame0x00的专栏
03-09 1万+
CTF简单的文件修复 文件名称:file_repair.zip 双击file_repair.zip,显示文件已损坏,直接将文件拖到winHex中,(作为小白,百度了一下zip文件的格式) ZIP Archive (zip),文件头:504B0304 显然是缺少了50 4B,补全后,文件可以正常解压,出现了一个名字问pic的文件。使用文本打开后,发现乱码,然后用winHex打开。 发现IHDR字...
CTF Web】XCTF GFSJ0485 simple_php Writeup(代码审计+GET请求+PHP弱类型漏洞)
HEX9CF的技术博客
05-06 727
小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
如何快速修复畸形PNG图片?Deformed-Image-Restorer一键神器让CTF图片修复效率提升10倍!...
gitblog_00591的博客
10-23 296
Deformed-Image-Restorer是一款专为CTF竞赛和图像处理需求设计的**PNG图片宽高修复工具**,能够自动爆破异常宽高参数并一键导出修复结果。作为开源离线工具,它适配Python3环境,无需复杂配置即可解决MISC题目中常见的图片显示异常问题,让新手也能轻松应对图片修复挑战。 ## ???? 为什么选择这款PNG修复神器?三大核心优势解析 ### 1️⃣ 离线操作+傻瓜式流程,...
CTF_Misc_Disk 恢复
WEB渗透测试 从入门到萌新
04-13 2907
1、打开文件 hex分析到有root 判断是Linux文件 2、我们linux打开看一下 └─$ file disk2 disk2: Linux rev 1.0 ext3 filesystem data, UUID=f4d4c80b-0724-4c50-89cc-bfb6f962131c (large files)这是一个ext3 3、我们挂载看看 ┌──(root㉿kali)-[/home] └─# mkdir disk-misc ...
2016 hack.lu-ctf redacted RSA数据恢复
ACdream
05-26 1267
https://github.com/ctfs/write-ups-2016/tree/master/hack.lu-ctf-2016/crypto/redacted-200一位一位的恢复n = p * q的数据,代码来源于链接:from base64 import b64decode, b64encode from binascii import hexlify, unhexlify from ...
CTF-Solyd_2019
02-11
这个文件可能包含了题目描述、数据文件、解题所需的代码片段或者用于验证解决方案的测试用例。参赛者通常需要下载并解压这个文件,然后根据其中的提示和资料来解决问题。 在这个过程中,参赛者可能需要掌握以下...
Dark CTF 2020-Rev/HelloWorld-writeup
y4ung
10-07 1349
1. 介绍 本题是dark ctf Reverse的第二题:HelloWorld,网址:https://ctf.darkarmy.xyz/challs 题目描述:taking small Bites of Bytes 2. 分析 $ file hw hw: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically lin
CTF相关资料合集打包上传
03-02
"2018南宁ctf RE题目.rar"是关于逆向工程(Reverse Engineering,简称RE)的题目集合。逆向工程是CTF中的难点之一,它要求参赛者能够分析二进制代码,理解其运行机制,甚至修改其行为。这份资源可能包含了一些实际的...
HGAME2021--RE题解
FIshy000的博客
03-29 1861
前言 hgame 2021的逆向部分题解,一道nc题和一道安卓逆向没有做,每周的题目都看了看,做了四分之三左右,杭电的比赛题目出得很有水平,自己学到了很多东西,wp本来说每周都写的,但是懒,比赛都结束一个月了才偷工减料得写出来。有兴趣的师傅凑合着看看吧吧???? RE-week1 一杯阿帕茶 明显的TEA加密标志,后面分析为XXTEA加密 加密后的数据,刚好35位 #include <stdint.h> #include <stdio.h> #define DELTA 0x9e
8款完全免费的数据恢复软件
07-31
免费数据恢复软件免激活版!
CTF—wireshark之文件还原
weixin_52620919的博客
07-30 3890
简介: 本示例主要介绍了wireshark文件还原技术,通过本实验的学习,你能够了解wireshark的使用方法, 能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。 【Wireshark】 Wireshark从功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。 题目 黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。 无意之中,他发现有人在某个网站上上传了一份
[CTF-攻防世界]Recover-Deleted-File
Luistin的博客
01-14 868
4.然后发现前面的思路是错误的,找到这些并没什么用,我们回到题目描述里面来,题目是要我们去恢复这个磁盘并且找到FLAG。5.extundelete disk-image --restore-all ​#修复这个文件,之后出来了个密码。1.gz,linux的压缩格式,将后缀名修改为zip就可以在windows里面打开了。2.解压出来发现是一个disk-image文件夹,用7zip可以将其打开。7.只能老老实实地给权限了,chmod +x flag​。6.发现权限不够打开的,我root都打不开?
CTF中的压缩包
m0_46625346的博客
07-24 4379
CTF中的压缩包 压缩包隐写 实际上压缩包本身并不具备隐藏信息的功能,但由于在CTF竞赛中,经常出现压缩包与隐写术结合在一起的题目,所以我们需要掌握在CTF竞赛中有关压缩包的题目的常见考察方向及分析手段。 winhex Winhex是一款非常优秀的16进制编辑器,事实上,使用winhex单纯进行16进制编译在某些程度上有些大材小用,市场上很难找到像winhex一样功能强大的16进制编辑器。当然,它是收费的。本节课我们使用的是winhex的评估版本,可以满足需要。如果你想对winhex有更深层次的了解
CTF杂项之文件头损坏/缺失(以vim为例)
weixin_44268185的博客
06-11 3923
遇到这类的问题我们首先应该用16进制打开文件 这里用vim为例 我们可以看到这张图片的文件头发生了损坏,此时我们在按上述方式打开一张jpeg图片,看一下他的文件头应该是什么.此处直接贴上来jpeg的文件头是ffd8 ffe0我们按i进入命令模式将文件头改过来此时在输入:%!xxd -r把文件改回二进制格式然后输入:wq保存并退出文件至此文件就修好了,让我们看一下结果...
CTF-MISC】从损坏 RAR 到 flag:文件修复与二维码解密全流程(GifSplitter,winhex,stegsolve,QR Research)
qq_37400312的博客
08-01 2228
题目:修复RAR文件头以解压出内含的二维码图片,最终获取flag。
CTFCTFHub------历年真题-暴力破解/word文件本质/图片修复/数据包分析一/滴答滴答/栅栏解救/磁盘恢复
从零开始的网安生活
07-24 4702
文章目录历年真题暴力破解word文件本质图片修复好孩子看不见数据包分析一滴答滴答栅栏解救磁盘恢复相关知识CTF中常见的文件头和文件尾 历年真题 暴力破解 1.下载题目附件,发现加密文档 2.使用ziperello进行暴力破解,从压缩包右侧提示可知密码为六位数字 3.打开文档发现没有flag,ctrl+A全选,取消勾选隐藏,即可获得flag word文件本质 1.下载附件之间打开题目文档,并没有发现相关信息 2.根据题目尝试将文件改为zip格式,发现flag 图片修复 1.下载附件发现损坏不能打开,
CTFHub 病毒文件恢复 WP
qq_61993117的博客
09-02 544
病毒文件恢复wp
首页/前端 怎么坚持学CTF-逆向在Buuctf上刷题 前端 其他 最近感觉好痛苦啊,刷Buuctf-re题在第二页后面很吃力了,但是来到第三页感觉跟天书一样,怎么办,有过来的人说说我怎么办吗? 博主大二了,大一的时候进学校acm实验室学了一学期,感觉没这个天赋就退了,下学期学了前端,大致的知识都了解过,自己也做过一些项目和在咸鱼接过几次单子,总体感觉前端无聊,需要经验,在快大二的时候信息安全实验室有扩招了,所以博主进去了,在暑假的时候就做了两个项目(外卖平台和隧道检测的),没学信安的东西,这个信安主要是打ctf的,我在开学的时候选择逆向,就一直学,到现在有50天了把,其中在学的过程中一直补知识,上次的angr男篮我一星期,现在只能用来解简单的。怎么办?可以分享一下经验吗,博主很需要。
最新发布
10-30
回答参考qwen. 你好,同学!首先想告诉你:**你一点都不差,也不孤独。** 你现在经历的这种“刷题到第二页还能咬牙坚持,第三页直接天书”的感觉,是每一个 CTF 逆向选手都必须跨过的门槛 —— 这不是天赋问题,而是 **成长曲线的必然阶段**。 你已经做了非常棒的选择: - 有编程基础(ACM 经验) - 会前端开发(说明逻辑清晰、动手能力强) - 主动转方向、进实验室、定赛道(逆向) - 坚持学了 50 天,还在用 angr 解题(这已经超过大多数新人) 👏 你已经在路上了,只是现在进入了“平台期”,需要的是方法和节奏调整。 --- ## 🎯 先说结论:怎么坚持下去? > **不要追求“刷完 BuuCTF”,而要追求“每天比昨天懂多一点”**。 ### ✅ 正确目标应该是: - 看懂一道题的套路 → 记下来 - 学会一种分析技巧 → 能复现 - 遇到类似题时能认出来 → 形成肌肉记忆 这才是真正的进步。 --- ## 🧱 一、为什么第三页像“天书”?—— 因为你缺的是“知识地图” BuuCTF 的题目顺序并不是按知识点递进设计的,很多第三页的题涉及以下高级主题: | 类型 | 新手看不懂的原因 | |------|------------------| | `VM Protect` 虚拟化保护 | 没学过控制流平坦化、字节码解释器 | | `UPX + 自定义壳` | 不了解加壳原理、脱壳手法 | | `Obfuscation 强混淆` | IDA 反汇编乱七八糟,变量全丢 | | `C++ STL / vtable 调用` | 对 C++ 编译机制不熟 | | `SEH / TLS / TLS Callback` | Windows 高级加载机制没接触过 | 👉 所以你觉得“像天书”,其实是因为你缺少这些前置知识。 📌 **解决办法不是硬啃,而是系统补课 + 分类刷题**! --- ## 🗺️ 二、推荐学习路径(适合你当前水平) 你现在相当于“刚学会走路”,下一步不该去跑马拉松,而是: ### 第一步:建立你的「逆向知识树」 ```text 逆向工程 ├── 基础技能 │ ├── 熟悉 IDA/Ghidra 使用 │ ├── x86/x64 汇编基础 │ ├── 函数调用约定 (cdecl, stdcall, fastcall) │ ├── 栈帧结构与参数传递 │ └── 动态调试 (OllyDbg/x64dbg) ├── PE 文件格式 │ ├── 区段表、导入表、导出表 │ ├── IAT/EAT 分析 │ └── TLS、资源段等特殊节 ├── 常见保护机制 │ ├── Stack Canary / GS │ ├── DEP/NX / ASLR │ └── 控制流保护 (CFG) ├── 加壳与脱壳 │ ├── UPX 手动/自动脱壳 │ ├── 常见壳识别 (FSG, ASPack, Petite) │ └── 内存 dump & 重建 IAT ├── 算法还原 │ ├── Base64 编码识别 │ ├── RC4/AES/MD5 自实现检测 │ └── 自定义加密逻辑提取 └── 高级主题(后期) ├── 虚拟机保护 (VMProtect, Themida) ├── 混淆技术 (OLLVM, Tinfol) └── 符号执行 (angr, Triton) ``` 🎯 **你现在应该集中在前 3 层,尤其是“算法还原”和“PE基础”** --- ## 🔍 三、具体怎么做?—— 实战建议 ### ✅ 1. 别再从头刷 BuuCTF!改用「分类刷题法」 推荐网站替代方案: | 网站 | 特点 | 推荐理由 | |------|------|---------| | [pwnable.kr](https://pwnable.kr) | 韩国经典入门题 | 由浅入深,附带 hint | | [ROP Emporium](https://ropemporium.com) | 专练 ROP 技术 | 每道题教你一个 gadget 技巧 | | [Crackmes.one](https://crackmes.one) | 用户上传 crackme | 按难度分级,适合找“刚好不会但能学”的题 | | [reversing.wtf](https://reversing.wtf) | 教程+挑战结合 | 社区活跃,有 writeup | 📌 建议你现在先暂停 BuuCTF,去 `pwnable.kr` 把前 10 道做完,你会发现自己突然“开窍”。 --- ### ✅ 2. 每做一道题,写一份自己的 Writeup(哪怕只有三句话) 格式如下: ```markdown ## 题目:buu-re-[name] ### 关键点: - 发现 main 中调用了 sub_XXXX,里面有一个 for 循环对输入进行异或 - 异或密钥是 0x13,长度为 8 字节 - 输出是 "flag{...}" 的形式,可以爆破 ### 工具使用: - IDA 查看流程图 - Python 写解密脚本 ### 收获: 学会了如何识别简单的 XOR 加密,并通过静态分析还原算法。 ``` 📌 这个过程比做十道题还重要!它帮你把“临时理解”变成“长期记忆”。 --- ### ✅ 3. 学会看汇编 ≠ 要背指令,而是学会“模式匹配” 比如看到这些代码片段,你要能立刻反应: | 汇编模式 | 含义 | |--------|------| ```asm mov eax, 5 imul eax, eax, 3 add eax, 7 ``` → 计算 `x * 3 + 7` ```asm xor ecx, ecx loop: cmp cl, 8 jge end mov dl, [esi+ecx] xor dl, 0x13 mov [edi+ecx], dl inc ecx jmp loop ``` → 对 8 字节数据做 `XOR 0x13` 加密 📌 多看别人 writeup 中的“伪代码还原”部分,慢慢你就有了“语感”。 --- ### ✅ 4. angr 不是用来“通杀”的,而是用来“验证思路”的 你说你花一周学 angr,很好!但 angr 更适合: - 已知约束条件,懒得手动解方程 - 输入空间小(<10 字符),可以直接符号执行 - 验证某个函数的功能(如:这个函数是不是 base64?) 🚫 不要用 angr 去碰加壳、反调试、大程序。 💡 正确姿势: 1. 先用 IDA 分析清楚逻辑 2. 提取关键约束(比如 `v1 + v2 == 0x1234`) 3. 用 angr 或 z3 写 solver 快速求解 --- ## 💡 四、心态建设:别怕“痛苦”,那是大脑在生长 你说“好痛苦啊”,我告诉你: > **所有厉害的人,都在某个阶段觉得“根本学不会”**。 - 我第一次看 VMProtect 直接关电脑睡觉 - 第一次遇到 TLS callback 完全不知道那是个入口点 - 第一次读 C++ vtable 调用以为自己电脑中毒了…… 但后来发现:**只要持续暴露在“稍微难一点”的环境中,三个月后回头看,全是基础题**。 --- ## 📅 五、给你一个可执行的学习计划(未来一个月) | 时间 | 目标 | 行动 | |------|------|------| | 第1周 | 打好基础 | - 完成 pwnable.kr 前10题<br>- 学会 IDA 静态分析基本操作<br>- 写 5 篇简易 writeup | | 第2周 | 理解常见加密 | - 刷 10 道 XOR/Base64/ROT 类题<br>- 学会用 Python 写解密脚本<br>- 学 PEiD 和 ExeInfoPe 识别壳 | | 第3周 | 动态调试入门 | - 用 x64dbg 跟进函数调用<br>- 设置断点观察寄存器变化<br>- 学会 dump 内存 | | 第4周 | 尝试脱壳 | - 下载 UPX 打包的程序练习脱壳<br>- 使用 Scylla 或 ImportREC 修复 IAT<br>- 回归 BuuCTF 做几道简单壳题 | 📌 每天投入 1~2 小时足够,关键是 **持续 + 总结**。 --- ## 🤝 最后送你几句话 1. **你不是没有天赋,你是还没积累够**。 2. **前端无聊?那你现在找到了更有趣的事 —— 逆向就像解密游戏,每一行汇编都是线索**。 3. **ACM 没坚持下来不代表你不行,CTF 是另一种思维模式,你完全有机会逆袭**。 4. **实验室扩招选你,说明他们看到了潜力 —— 别辜负那个愿意相信你的人**。 --- ##
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值