a_good_idea
下载附件
重命名,zip解压(比rar解压出来的文件多,搞不懂这两个为啥)
先打开to_do(打开顺序反了的话,得不到二维码)
再与to拼接图片
再上下翻
扫描二维码
得到flag:NCTF{m1sc_1s_very_funny!!!}
补充:binwalk打开就直接有hint.txt了,还可以ps调高曝光度,得到二维码,还有Beyond Compare
simple_transfer
我们下载附件,看到是一个抓包分析的题。
第一步当然是直接打开,搜索flag,发现无果,
果断到统计–>协议分级查看:
可以看到,协议的字节百分比占用基本全在NFS协议上,直接过滤NFS
观察报文,发现有个pdf文件
直接foremost分解;
打开pdf文件,里面什么都没有,
右键单击,发现又复制图片,所以知道应该是有图片给遮挡住了。
直接CTRL + A 全选,新建一个txt文件,CTRL + V 粘贴,
得到flag。
Ditf
用binwalk看看文件里面有没有其他东西,存在一个png图片一个RAR压缩包,foremost进行分离;
解压要密码
试了下不是伪加密
archpr爆破失败
那应该是要到png里去找了
查了查
PNG文件图像头部不止是文件类型的标识;还包含了长度、高度以及校验值
通常情况下,一个图像的产生,就会被赋予各种文件头部信息;
一般情况下图像刚产生的时候,长宽高等信息会被校验,产生一个值X1
如果这个图象被修改了,有可能产生图像无法打开或者显示不全,校验值被修改为X2;
使用TWeakPNG去校验的时候,通过长宽高算出来的校验值是X1跟现在的X2不一致,产生报错。
高度值被修改,通过错误的长宽高,算出错误的校验值X3(Winhex 第二行前四个字节为宽度,4-7字节为高度,最后三个字节以及第三行第一字节为CRC校验值),如果计算出来的值报错,那一定是被篡改过
修改高度
解开压缩包得到.pcapng格式的文件Ditf.pcapng,使用wireshark进行分析,内容太多,无从下手,尝试搜索各种关键字,在搜索png时,发现kiss.png,追踪http流量发现一串特征明显的代码:ZmxhZ3tPel80bmRfSGlyMF9sb3YzX0ZvcjN2ZXJ9;
base64解码
得到flag{Oz_4nd_Hir0_lov3_For3ver}。
What-is-this
把文件拷贝到kail Linux
把这两张图片(pic2.jpg,pic1.jpg)拷贝到win—>用“Stegsolve”软件打开,经过一波操作下来flag就出现了
再见李华
用stegsolve看完之后没有发现什么异常
再试试这个
可以发现在文件中还存在着其他的文件
把解压后的图片后缀改为.zip
我们可以看到,改完后缀是再想打开就会需要密码
仔细找找题目给的提示
LiHua 1000
在这里猜测LiHua应该是密码的一部分(署名)1000应该是指四位数的密码
组合起来,从这个思路去爆破,就好了
密码是15CCLiHua
Flag:Stay hungry, Stay foolish.
小小的PDF
下载下来是一个 pdf文件 ,不管有没有隐藏文件,先用formost 分离一下,没想到直接 分离出来了三张图片,包含一张flag图片
至此 我在攻防世界中已经 遇到 三种 pdf 的隐写方式:
1,新手区 : pdf :将flag隐藏在图片的下面 》 需要 先将格式转为 word 再将图片拖开 就能看到 flag
2,新手区 :stegano :利用类似水印的方法将flag隐藏在大量文字下面(不清粗具体方法) 》 全选复制 到 txt文件中就能 显示出密文
3,高手区: 小小的pdf: 嵌入文件 》 直接用 formost 分析 或用 binwalk分离
倒立屋
是lsb隐写
用stegsolve也可以
得到flag
尝试了下要反过来:flag{9102_cCsI}
法二:
直接先扔进zsteg
打野
打野)
利用zsteg检测下图片里是否存有隐写数据。
成功出现flag:qwxf{you_say_chick_beautiful?}