CTF|Misc-Crymisc

前言

最近在学习CTF中MISC类题目的解题技巧,并复盘了今年8月底GACTF比赛中的题目—crymisc,这道题里面包含了MISC题目中经常遇到的考点(文件头类型判断、压缩包文件伪加密、图片藏文件、编码解码)。

题目链接

链接:
https://pan.baidu.com/s/1EZzhnAa5Q4OD8y-YEAcjzQ
提取码:866h

解题思路

1.  首先下载根据提供的链接下载题目文件,由图1.1可知题目给出的文件为word文档。
图1.1
2.  尝试通过word打开题目文件,结果如图1.2文件无法正常打开。此时我们猜想文件可能不是Word文档格式,出题人可能更改了文件后缀。
图1.2
3.  将题目给出的word文件放入winhex工具中如图1.3,通过分析文件头为“504B0304”,判断文件格式为zip压缩包。
图1.3
4.  更改文件后缀为zip,再通过压缩软件打开压缩包,如图1.4。此时我们发现压缩包中1.txt文件没有加密,打开1.txt文件阅读提示信息,发现内容与本题无关。结合得到的信息:3.jpg文件被加密但是题目并没有给出有用的提示信息。我们可以得出结论:要么是弱密码,要么是伪加密。
图1.4
图1.5
5.  将zip文件再一次放入软件winhex中,分析文件加密位。首先通过搜索加密位16进制特征码“504B0102”找到加密位,如果加密位不为“00”需要将加密位改为“00”,并保存。此时我们发现原来的加密文件,不需要密码了。
图1.6
图1.7
图1.8
6.  将图片解压出来,并打开。图片中并没有什么有用的信息,此时我们仍需要借助winhex软件分析图片,观察文件头并没有异常的地方,那么我们之后需要分析文件尾。jpg格式图片文件尾特征码“FFD9”,通过分析图2.2发现,文件尾并不在末尾。那么在jpg文件尾特征码之后的内容可能是另一个文件。
图1.9
图2.1
图2.2
7.  继续分析上一步内容,通过上网查找“常见文件头”始终没有发现与本题相关的内容。此时我们通过观察图2.2右侧字符串中发现有一段内容为常见的字符串,并且在字符串下方有“crymisc.txt”字样的内容,再者在字符串16进制编码结束后的16进制头中“03041400”很像是常见文件头中的zip格式。
图2.3
8.  将可以的16进制从“03041400”到末尾复制到另一个文件中,并保存为zip文件,尝试打开文件发现真的是一个被加密的zip文件。加密文件仍然没有提示,通过分析文件加密位发现并不是伪加密。汇总已知信息:目前有一个加密压缩包和在图片中存在一串可疑的字符。
图2.4
图2.5
9.  结合上一步的信息我猜测这一串可疑的字符很有可能是压缩包的密码。经过尝试之后发现并不是密码。此时我还有个猜想:这一串字符很可能被加密了。接着便将可疑字符放入解密工具(在线解密工具)中一个个解密方式挨个试,最终功夫不负有心人使用base64解密得到密码,如图2.7。
图2.6
//
图2.7
10.解密文件内容如图2.8,打开文件发现一堆莫名奇妙的emoji表情。通过上网搜索发现这其实是“emoji加密”。最终在github上找到了emoji解密程序,最终解密如图2.9,得到最终flag:GACTF{H4ppy_Mi5c_H4ppy_L1fe}
图2.8
图2.9
实习编辑:刘凤莲
责编 :KeeCTh
能力越强,责任越大。
实事求是,严谨细致。
(where2go团队)

微信号:算法与编程之美

(0)

相关推荐

  • buuctf-misc(部分)

    爱因斯坦 附件下载下来是一张图片 先用winhex看下 典型的压缩文件形式 binwalk 分离前先把上次的output文件夹删除 老一套,加密的文件 但这次题目没有给我们具体的提示 先猜测一手题目名 ...

  • CTF REVERSE练习之病毒分析

    首先介绍两个知识点,在后面的实验中运用到的. 1.7Zip 7-Zip 是一款开源软件.我们可以在任何一台计算机上使用 7-Zip ,包括用在商业用途的计算机.7-Zip 适用于 Windows 7 ...

  • CTF训练之 CountingStars

    今天介绍一道某比赛的真题. 首先我们来进行CTF 练习,进入实验链接:CoutingStars 首先看到题目名称:CoutingStars ,数星星,不知道是代表什么,我们直接进入道题目发现页面: ? ...

  • 了解一下MISC出题思路

    今天看一下是CTF种misc是怎么出题的吧.了解出题人的意图也可以更好的培养我们的解题思路. 本次实验地址<CTF Misc练习1>,想操作一下的同学可以去试一下. 先用一个简单的题目当例 ...

  • 尝试用代码解CTF题-找茬游戏

    今天玩一个找茬游戏.但是我们不是用眼睛找,我们用代码找. 最近做的题基本都是用工具做题,这次来尝试一下用代码解题. 来看题目解压附件cry200.zip,得到两张图片(附件在c盘根目录下的解密200文 ...

  • MISC 从标题中找信息

    在做隐写的时候,思路很重要,当然有时候会感觉思路不够用,那怎么办呢?记住看隐写的题目名字很重要,因为很多时候,隐写题的标题里就隐藏了信息. 本文实验地址为:<CTF MISC练习之编码1> ...

  • CTF 密码学应用中间人攻击

    中间人攻击(Man-in-the-MiddleAttack,简称"MITM攻击")是一种"间接"的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计 ...

  • CTF竞赛密码学之 LFSR

    概述: 线性反馈移位寄存器(LFSR)归属于移位寄存器(FSR),除此之外还有非线性移位寄存器(NFSR).移位寄存器是流密码产生密钥流的一个主要组成部分. $GF(2)$上一个n级反馈移位寄存器由n ...

  • 通过几道CTF题学习Laravel框架

    安装:其中--prefer-dist表示优先下载zip压缩包方式 composer create-project --prefer-dist laravel/laravel=5.8.* laravel ...

  • 通过几道CTF题学习yii2框架

    简介 Yii是一套基于组件.用于开发大型 Web 应用的高性能 PHP 框架,Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize()时,攻击者可通过构造特定的恶意请求 ...

  • CTF Stegano练习之隐写初探

    今天要介绍的是CTF练习中的Stegano隐写题型.做隐写题的时候,工具是很重要的,接下来介绍一些工具. 1.TrID TrID是一款根据文件二进制数据特征进行判断的文件类型识别工具.虽然也有类似的文 ...

  • CTF PWN练习之绕过返回地址限制

    先介绍一些这个实验要知道的一些东西 builtin_return_address函数 builtin_return_address函数接收一个参数,可以是0,1,2等.__builtin_return ...

  • CTF PWN练习之返回地址覆盖

    今天进行的实验是CTF PWN练习之返回地址覆盖,来体验一下新的溢出方式. 学习地址覆盖之前还有些小知识需要掌握,不然做题的时候你肯定一脸懵逼,首先是函数调用约定,然后还要知道基本的缓冲区溢出攻击模型 ...