ctfshow刷题笔记-MISC入门
(1-16因为一些不可抗力因素 暂时缺失)
ctfshow - misc入门 - misc17
知识点省流
本题主要考察对Zsteg和Binwalk的使用
WP
下载附件得到一张图片,打开没有任何内容,常规操作后也没有任何明显的信息,用zsteg分析发现有隐藏数据(用aperi也能分析出来),将其提出成文档
得到的文档里也没有什么信息,对其进行binwalk,会得到一个1F1文件
用010看一下会发现这是一张png图片,修改后缀即可得到flag
还有一种解题方法是用tweakpng合并原图片的所有IDAT块,然后再对处理好的图片进行binwalk,也能分离出flag图片
ctfshow - misc入门 - misc18
知识点省流
本题主要考察图片的exif信息
WP
得到附件后,用exiftool查看图片的exif信息并根据提示即可找到分割的flag字符串,拼凑即可(也可以用aperi分析)
WP
ctfshow - misc入门 - misc19
知识点省流
本题主要考察图片的exif信息
WP
与misc18类同
ctfshow - misc入门 - misc20
知识点省流
本题主要考察图片的exif信息
WP
下载附件,用exiftool查看图片的exif信息,可以看到有一项comment信息里藏了flag的中文谐音,转换成flag即可
如果用aperi梭哈的话,得到的内容是经过unicode编码的,解码后内容跟上面一样
ctfshow - misc入门 - misc21
知识点省流
本题主要考察图片的exif信息,进制转换
WP
下载附件,用exiftool查看图片的exif信息,根据题目提示flag在序号中,可以看到图片的序列号是一串数字
用厨子进行hex解码得到提示信息:hex(X&Ys)
根据提示,将exif信息里的XResolution、YResolution、XPosition、YPsition的四串十进制数转换为十六进制,拼接成flag字符串即可
ctfshow - misc入门 - misc22
知识点省流
本题考查jpg-thumbnail隐写(我理解的就是缩略图和打开后的图片不一致,缩略图藏了flag)
WP
下载附件后,可以直接丢给随波逐流梭哈,会直接导出缩略图
查看exif信息可以发现里面藏了一张thumbnailimage
用010打开,搜索文件头FFD8可以发现文件数据中有两处FFD8,把第二处前面的数据全部删掉保存即可得到缩略图
ctfshow - misc入门 - misc23
知识点省流
本题考察图片的exif信息,时间戳转换,进制转换
WP
下载附件得到一个psd文件,根据提示,丢给exiftool分析一下
可以看到有个history action,一共执行了五个行动,而且其中提到了ctfshow和getflag,猜测有信息,然后下面有个history when信息,应该是对应了五个行动的时间,将五个时间转换成时间戳后,转为十六进制,并拼接在一块即可得到flag
ctfshow - misc入门 - misc41
知识点省流
本题考察对题目的了解,对不对得上电波)
WP
下载附件后得到一张损坏的jpg图片,将文件头补齐即可正常显示(然并卵),根据题目提示,发现可能跟F001有关,用010打开图片,查找一下hex值为F001的部分,然后可以发现高亮的部分非常有规律
不难发现,高亮的部分组成了题目的flag,用肉眼目测法提取出来即可(真抽象啊)
ctfshow - misc入门 - misc24
知识点省流
本题主要考察BMP图片宽高隐写
WP
下载得到一张BMP图片,根据提示,用010模板直接修改BMP的高度,即可看到图片上方的flag
ctfshow - misc入门 - misc25
知识点省流
本题主要考察PNG图片宽高隐写
WP
下载得到一张PNG图片,根据提示,用010模板直接修改PNG的高度,即可看到图片下方的flag
ctfshow - misc入门 - misc26
知识点省流
本题考查PNG图片宽高隐写、CRC爆破
WP
下载得到一张PNG图片,根据提示,猜测图片高度又不对,修改大一点的高度后,可以发现flag里有缺失,需要找到正确的高度hex值补齐
写个脚本爆破出其原本的高度即可
ctfshow - misc入门 - misc27
知识点省流
本题考查JPG图片宽高隐写
WP
下载得到一张JPG图片,根据提示,用010模板直接修改JPG的高度,即可看到图片下方的flag(Y是高度,X是宽度)
ctfshow - misc入门 - misc28
知识点省流
本题考查GIF图片宽高隐写
WP
下载得到一张GIF图片,根据提示,用010模板直接修改GIF的高度,修改Data里的ImageDescriptor(gif图需要v14版本的010才能安装模板),即可看到图片下方的flag
ctfshow - misc入门 - misc29
知识点省流
本题考查GIF图片宽高隐写(比28要稍微多一点内容)
WP
下载得到一张GIF图片,根据提示,应该是用010模板直接修改GIF的高度(gif图需要v14版本的010才能安装模板),但与28不同,28只有一张图片,而29是多张图片,因此需要修改多个ImageDescriptor,但只修改这些还不够,还需要修改她的逻辑高度,也就是LogicalScreenDescriptor里的高度。然后将有flag的图片分离即可(但28好像不用 不知道为啥)。
ctfshow - misc入门 - misc30
知识点省流
本题考察BMP图片的宽高隐写
WP
下载得到一张无法正常显示的BMP图片,根据题目提示:正确的宽度是950,在010中根据模板修改BMP的宽度即可还原图片得到flag
ctfshow - misc入门 - misc31
知识点省流
本题考察BMP图片的宽高隐写(脚本爆破)
WP
下载得到一张无法正常显示的BMP照片,根据提示高度是正确的,但正确的宽度是多少呢,显然要进行BMP图片的宽高爆破,去大佬的博客里cp了一个直接拿来用了)爆破出来后修改宽度即可得到flag
ctfshow - misc入门 - misc32
知识点省流
本题考察PNG图片的宽高隐写(脚本爆破)
WP
下载得到一张无法正常显示的PNG照片,不知道正确的宽度是多少,上脚本爆破即可
ctfshow - misc入门 - misc33
知识点省流
本题考察PNG图片的宽高隐写(脚本爆破)
WP
与misc32类同,直接爆破即可
ctfshow - misc入门 - misc34
知识点省流
本题考察PNG图片的宽高隐写(脚本爆破),但是批量
WP
下载得到一张无法正常显示的PNG照片,不知道正确的宽度是多少,而且连图片IHDR块的crc也给改了,直接通过CRC爆破不了正确的宽高,但是根据提示正确宽度肯定大于900,可以直接爆破生成若干张图片,遍历所有宽度可能(太抽象了原来要这样 直接拿别人的脚本做了),然后找到对应的那张正确的图片即可
ctfshow - misc入门 - misc35
知识点省流
本题考察JPG图片的宽高隐写(脚本爆破)
WP
下载得到一张无法正常显示的JPG图片,总体思路和35一样,不过JPG和PNG的文件结构不同,需要修改一下脚本的部分内容,JPG的高度数据在159-161B,调整一下即可,唯一的问题是图片的高度也不对,要稍微调高一点(焯太老实了我还以为只看宽度)
ctfshow - misc入门 - misc36
知识点省流
本题考察GIF图片的宽高隐写(脚本爆破)
WP
与misc36类同,也要改高度
ctfshow - misc入门 - misc37
知识点省流
本题考察GIF图片的分离
WP
下载得到一张GIF图片,打开隐约能看到里面有些别的内容,但是切换的太快了看不到,在线找个GIF分离网站处理一下,把flag拼凑起来即可
ctfshow - misc入门 - misc38
知识点省流
本题考察APNG图片分离
WP
下载附件得到一张PNG图片,用tweakpng打开分析,会发现这其实是一张APNG图片(PNG升级版),是一种基于PNG的位图动画格式,也就是说他其实是一张动图,可以用apngdis工具将其逐帧分离,然后拼凑flag
ctfshow - misc入门 - misc39
知识点省流
本题考查GIF图帧间隔隐写
WP
下载得到一张GIF图,拿去分离后发现里面存在几百帧的图片,而且每一帧之间的间隔有一定规律,都是0.36s或者0.37s,故猜测帧间隔中藏有信息,用identify工具导出帧间隔
导出后,将37改为1,36改为0,然后进行二进制转换即可得到flag**(要注意使用七位长度的进制转换,可以通过flag的开头ctfshow去对应二进制字符串开头的内容判断为7位长度)**
ctfshow - misc入门 - misc40
知识点省流
本题考查APNG图帧间隔隐写
WP
下载得到一张PNG图,用tweakpng看一下发现是APNG,用apngdis分离每一帧,apngdis分离时会将每帧的间隔导出一个对应的文档,将每个文档中的帧间隔提取出来后,丢给厨子进行十进制转换即可(草了是39的变形,不知道要用apengdis的分离帧,用identify搞不出来1551)
ctfshow - misc入门 - misc42
知识点省流
本题考查PNG图片的IDAT块长度隐写(不难看出来)
WP
下载附件得到一张PNG图片,先丢个tweakpng分析(已经学到PNG要先给他分析一下了笑死),发现里面有很多IDAT块,感觉跟IDAT块有关,而且根据提示flag有多长?2cm……不好意思打错了,41位,简单人肉数一下IDAT块有40多个,基本断定是IDAT块藏了信息,而IDAT块的长度也很明显有问题
而后续则是要用pngcheck去提取每个IDAT块的长度,然后丢给厨子解码即可得到flag
ctfshow - misc入门 - misc44
知识点省流
本题主要考察PNG图片的 IDAT块隐写
WP
下载得到一张PNG图片,下意识丢给tweakpng分析了,结果弹了几百个报错弹窗) 丢给随波逐流(OK以后也要丢给随波逐流),会检测IDAT块的crc情况,可以发现有些块的crc正常,有些块错误,猜测是true代表1,false代表0,也就是二进制形式。将其提出来转化即可得到flag。
ctfshow - misc入门 - misc45
知识点省流
本题考查 tm我也不知道这什么东西 图片格式转换(太tm抽象了)
WP
下载得到一张PNG图片,根据提示有时候也需要换一换思维格式,猜测要换图片格式,而图片格式有很多,这边猜测大概率是BMP格式(因为BMP格式的数值存储方式和排序不太一样),将图片转换为BMP格式后(直接改后缀应该不行),用binwalk就可以分理出flag图片(真的抽象,完全想象不到)
ctfshow - misc入门 - misc46
知识点省流
本题考查GIF图的偏移隐写
WP
下载得到一张GIF图,分离后可以发现里面没有藏flag,但图片一直在四处乱飘,其实不难看出是它的偏移有说法,用identify导出gif图每帧的信息,然后写个脚本画出flag即可
ctfshow - misc入门 - misc47
知识点省流
本题考查APNG图的偏移隐写
WP
与46类同,不过变成了APNG图,然后APNG图中的fcTL块里包含了偏移量,写脚本画出flag即可
ctfshow - misc入门 - misc48
知识点省流
本题考查脑洞
WP
下载得到一张JPG图片,用010打开,可以发现开头有提示,翻译一下就是统计FF的数量,然后还要减去1,而flag的长度则是32位的
根据提示,我们搜索一下FF数据,可以发现是有不少的(紫色的部分),将连续部分的数量统计并减去一,然后只记录前32块连续的FF数据,最终可以得到数量如下
0 12 11 0 7 10 13 13 9 0 9 13 0 13 6 0 10 9 2 1 0 1 10 8 11 5 12 7 2 2 3 10
可以发现都不超过十六,因此转化为十六进制后,即是flag
ctfshow - misc入门 - misc49
知识点省流
本题更是抽象
WP
下载得到一张jpg图片,010打开,可以发现,一般来说右侧多为乱码,但是这张图片的开头有许多显然是拼写正常的字符串,然后可以发现每个这种字符串前都有FFE?格式的数据
用搜索直接找到全部的符合FFE?格式的数据,然后将第四位数值提出,即为flag(太tm抽象辣)
ctfshow - misc入门 - misc50
知识点省流
本题考查lsb隐写
WP
下载得到一张png图,丢给aperi就可以梭哈了
ctfshow - misc入门 - misc53
知识点省流
本题考查LSB隐写
WP
丢给aperi梭哈,或者用stegsolve里面的data extract
ctfshow - misc入门 - misc54
知识点省流
本题考查LSB隐写
WP
下载得到png图片,丢到stegsolve里进行数据分析,可以看到在alpha通道 ,绿色通道,蓝色通道0处有纵向的内容,所以设置调整如下,即可找到隐藏的flag
ctfshow - misc入门 - misc55
知识点省流
本题考查LSB隐写
WP
下载得到一张png图片,用zsteg分析一下,发现b1,rgb,lsb,Yx藏了个zip文件,导出来后解压即可得到flag
ctfshow - misc入门 - misc56
知识点省流
本题考查LSB隐写
WP
与54类似,下载得到一张png图片,zsteg没分析出来有什么信息,丢给stegsolve看看,翻页可以发现在红色通道421和绿色通道421左上角有内容,直接数据分析即可
