buuctf misc 刷题记录
1、金三胖
将动图分离出来,get flag。
2、N种方法解决
一个exe文件,果然打不开,在kali里分析一下:file KEY.exe,ascii text,先txt再说,base64
图片,get flag。
3、大白
crc校验,改高,get flag。
4、基础破解
压缩包提示4位数字,爆破,base64,get flag。
5、你竟然赶我走
HxD打开,在最后get flag。
6、LSB
用stegsolve工具打开,发现PNG的文件头,save bin,扫二维码,get flag。
7、ningen
分离出加密压缩包,提示4位数字,爆破,get flag。
8、wireshark
提示网页,发现http,有个login的包,追踪http流(或者双击这个包),搜索关键字password,get flag。
9、假如给我3天光明
结合题目,图片下方是盲文,对照盲文ascii对照表,得到一串密码,摩斯音频,神器,get flag(大小写都试试)。
10、来首歌吧
摩斯音频,get flag。
11、FLAG
stegsolve,发现PK提出来,修复一下,文件没有后缀,改.txt,get flag。
12、爱因斯坦
分离出加密压缩包,密码在图片属性里,get flag。
13、easycap
用wireshark打开,追踪第一个包,get flag。
14、被嗅探的流量
用wireshark打开,筛选http数据包,发现有post 一个图片,双击,get flag。
15、梅花香自苦寒来
(备注提示画图)HxD打开发现很多16进制,复制到Notepad++,转ascii,发现是坐标,去掉(),,变空格,放在kali,:gnuplot,plot "1.txt",QR扫,get flag。
16、荷兰宽带泄露
.bin文件,工具RouterPassView,搜索username,get flag。
17、后门查杀
D盾扫,get flag。
18、另一个世界
用HxD打开,最后有一串2进制,2进制转ascii,get flag。
19、九连环
foremost分离出asd 文件图片拿不出来,binwalk可以,看来以后俩个要都试试,qwe.zip加密压缩包,分出来的jpg图像为steghide隐写 :kali命令:steghide extract -sf good-已合并.jpg,get flag。
20面具下的flag
分离出flag.vmdk,kali下对.vmdk解压:7z x flag.vmdk,brainfuck ook,get flag。
21、数据包中的线索
用wireshark打开,导出http对象,base64转图片,get flag。
22、webshell后门
用D盾扫,get flag。
23、被劫持的神秘礼物
用wireshark打开,发现login包,追踪tcp流,根据题目找到账号密码,md3哈希get flag。
24、弱口令
加密的压缩包,压缩包注释里有不可见字符,复制到sublime,Morce,得到一张png图片,lsb隐写:python lsb.py extract 1.png 1.txt 123456(弱口令猜123456),get flag。
25、Beautiful_Sise
半张二维码,数出二维码是2929的尺寸,CR-Code Version是2929(ver.3),点击右上角的紫色,Format Info Pattern里的Error Correction Level和Mask Pattern对着二维码试试就好,对照着把黑白块点出来,Etract QR Information。
26、喵喵喵
用stegsolve,发现Red plane 0有问题,发现有png图像,提取出来,把高补全,得到完整二维码,据说题目提示了NTFS,扫描出flag.pyc,pyc反编译,导出到文件,剩下就是脚本解密了。
27、秘密文件
wireshark,对流量包binwalk分析分离,直接数字爆破。
28、蜘蛛侠呀
wireshark,列出流量包的所以隐藏文件k:tshark -r 1.pcap -T fields -e data > 1.txt
发现1.txt有连续或不连续的重复行,使用liux的uniq命令去重:sort 1.txt | uniq >2.txt
flag
babyflash
用flash反编译工具JPEXS反编译flash.swf,出来441帧黑白图和一个音频,
29、吹着贝斯扫二维码
拼图(ps:改图片的宽高),扫出BASE Family Bucket ??? 85->64->85->13->16->32。
base32 在线decode得:3A715D3E574E36326F733C5E625D213B2C62652E3D6E3B7640392F3137274038624148
base16在线decode得::q]>WN62os<^b]!;,be.=n;v@9/17'@8bAH
rot13在线decode得::d]>JA62bf<^o]!;,or.=a;i@9/17'@8oNU
base85手机在线decode得:PCtvdWU4VFJnQUByYy4mK1lraTA=
base64在线decode得:<+oue8TRgA@rc.&+Yki0
base68 decode得:ThisIsSecret!233
30、[SWPU2019]神奇的二维码
binwalk分离,word文档n多个base64,comEON_YOuAreSOSoS0great用密码解出加密的压缩包,摩斯音频音频摩斯解密就好。
31、[SWPU2019]漂流的马里奥
ntfs工具一扫就出来了。
32、[SWPU2019]伟大的侦探
用010编辑器,编码方式挨个试,EBCDIC发现了压缩包密码,跳舞的小人。
33、[HDCTF2019]你能发现什么蛛丝马迹吗
img 内存取证
分析镜像:volatility -f memory.img imageinfo
查看进程:volatility -f memory.img --profile=Win2003SP1x86 pslist
查看之前运行过的进程: volatility -f memory.img --profile=Win2003SP1x86 userassist
提取explorer.exe进程:volatility -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=./
扫二维码:jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=,加上给了key和vi(偏移量),aes decode,模式(ECB)。
[HDCTF2019]信号分析
选为波形dB(W),
34、[SWPU2019]Network
flag3.zip用ziperello爆破,密码183792,doc文件的数字提示就是帧数,
..... ../... ./... ./... ../,敲击码,得wllm
dXBfdXBfdXA=,base64解得up_up_up,可以解出flag2.zip,HxD靠后的地方看到flag。
35、[GXYCTF2019]佛系青年
zip伪加密,题目和图片都提示佛,与佛论禅解密。
蜘蛛侠呀(脚本待)
我爱Linux(脚本待)
USB(脚本待)
sqltest(脚本待)
寂静之城(社工不做了)
派大星的烦恼(脚本待)
zip(脚本待)
68个压缩包,winrar打开看都是4字节,crc32校验爆破,
二维码(拼图暂不做)
SWPU2019]Network(脚本)
[GUET-CTF2019]zips
222.zip加密压缩包,无提示,6位数字爆破,111.zip又是加密压缩包,伪加密,
36、从娃娃抓起
题目提示2种不同的汉字编码,第一种是中文电码,解出人工智能,第二种是五笔编码,解出也要从娃娃抓起。
37、hashcat
文件没有后缀,拖到kali,显示word文件,在真机改后缀为.doc,打开时需要密码,破解办公文件用Accent OFFICE Password Recovery v5.1 CracKed By Hmily[LCG][LSG]工具爆破,9919,结果word文件显示乱码,xls打不开,改后缀为pptx,第7张白白的,搜素flag,有,替换颜色。
38、[RoarCTF2019]forensic
内存取证
1、分析镜像:volatility -f mem.raw imageinfo
2、查看进程:volatility -f mem.raw pslist --profile=Win7SP1x86_23418
观察到的可疑进程:
- TrueCrypt.exe 磁盘加密工具
- notepad.exe 自带记事本
- mspaint.exe 自带画图工具
- iexplore.exe IE浏览器
- DumpIt.exe 内存镜像提取工具
提取notepad.exe进程试试:volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3524 -D ./,得到3524.dmp,foremost分离,zip给加密了
既然用了画图工具,那就提取内存的图片:volatility -f mem.raw --profile=Win7SP1x86_23418 filescan | grep -E 'jpg|png|jpeg|bmp|gif',发现有张无标题.png,
无标题.png是windows画图工具默认的文件名,提取无标题.png:volatility -f mem.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001efb29f8 -n --dump-dir=./
1YxfCQ6goYBD6Q。
39、[RoarCTF2019]黄金6年
用HxD打开,在结尾处发现base64,发现是RAR,(ps:转为16进制的时候,要把02的空格改为00,不知道哪里出问题了-.-),save后rar却加密了,用pr打开mp4,准备逐帧查看,02:14,04:27,08:05,10:02处发现二维码
iwantplayctf。
40、[安洵杯 2019]Attack
foremost命令分离出压缩包,wk,加密了。用wireshark打开,文件->导出对象->http->save all,发现lsass.dmp,lsass.dmp放到mimikatz.exe目录下,在mimikatz_trunk\x64目录下执行下列命令。
privilege::debug
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full
得到密码解压。(ps:懵,flag在文本最后)
41、Business Planning Group
没什么发现,
在HxD靠后发现bpg图片,用honeyview工具打开,base64。
沙软 建议跟我去工地