2022.4.11-17BUU刷题记录

[MRCTF2020]摇滚DJ

1.题目概述

image-20220409202335141

image-20220409202357085

2.解题过程

听了一下,真难听,

audacity打开,波形是平的

image-20220409203659490

和前面那道题有点像

image-20220409203650885

kali的qsstv工具

安装qsstv

apt install qsstv

安装成功后,在终端下输入qsstv,自动打开

下载好后,在终端输入qsstv,系统自动打开qsstv,然后点击Options->configuration->sound->sound input->from file

image-20220330194629148

点击OK,然后点击这个按钮,选择要解码的文件,然后就开始解码啦

image-20220409204937827

flag{r3ce1ved_4n_img}

3.flag

flag{r3ce1ved_4n_img}

26.[XMAN2018]排位赛]file

1.题目概述

image-20220409205228454

image-20220409205240216

2.解题过程

看来又是一道内存取证题

查看基本信息

./volatility -f 26.img imageinfo

奇怪了,怎么没有结果

image-20220410210939411

那就要使用另一个程序来处理了

trid下载与安装,参考

(11条消息) 文件类型识别工具:TrID(trid)下载安装及使用_Red snow的博客-CSDN博客

然后就可以进行分析了

trid分析文件

image-20220412205154698

./trid 26.img

可以看到可能的文件类型

image-20220412205256444

没发现什么,再去虚拟机挂载看看

mount挂载

命令:

mount 26.img /mnt

进行挂载,不成功的话可以加个sudo或者多试几次,直至输入ls出现文件

image-20220416113808698

输入cd /mnt,再输入ls出现文件表明挂载成功

image-20220416113950906

然后再输入ls -lha查看具体信息

image-20220416114047867

到文件系统中打开mnt文件夹,查看分离出的图片

image-20220416140156757

并没有找到什么,但是前面ls查看时有lost+found字样,百度一下

image-20220416143814323

ext指extundelete,可以恢复文件,具体可以参考这篇博客

(11条消息) 文件恢复原理&&Linux文件恢复工具-foremost&extundelete_Red snow的博客-CSDN博客_foremost 恢复

extundelete恢复文件

使用命令:

extundelete 26.img --restore-all

image-20220416144222711

然后打开恢复的文件夹

image-20220416144258785

打印输出

使用cat命令打印或者010打开文件

cat file.17

image-20220416144550878

或者先查看恢复的文件是什么,然后再打印出来

image-20220416144932547

010

image-20220416144458501

3.flag

flag{fugly_cats_need_luv_2}

4.知识点

cat,ls,extundelete命令恢复文件,mount挂载文件

27.[SCTF2019]Ready_Player_One

1.题目概述

image-20220416145333185

image-20220416145739389

image-20220416145812165

2.解题过程

一上来有点懵,这是啥?

运行一下那个程序看看,是一个游戏,靠最右侧直接一路上去就发现flag了

image-20220416150600379

flag{You_Are_The_Ready_Player_One!!!For_Sure!!!}

3.flag

flag{You_Are_The_Ready_Player_One!!!For_Sure!!!}

4.知识点

玩游戏获得flag

28.[GUET-CTF2019]520的暗示

1.题目概述

image-20220416151145138

image-20220416151220245

2.解题过程

这个题目名称好有意思

010打开,

image-20220416151753246

photo.dat,那应该和图片有关系,分析开头和结尾

image-20220416152000030

image-20220416151942781

有点类似于jpg的FFD8FF文件头和FFD9文件尾诶,那要怎么样转换成jpg格式呢?想到了那几个常用的计算方法——二进制与,二进制或,二进制异或和二进制反转,优先考虑异或,这个比较常见,CC和FF的二进制分别是:

CC 11001100

FF 11111111

CC^x=11111111

异或运算符是这个意思,参与运算的两个值,如果两个相应bit位相同,则结果为0,否则为1

(1) 00=0,01=1 0异或任何数=任何数

(2) 10=1,11=0 1异或任何数-任何数取反

(3) 任何数异或自己=把自己置0

这样就可以一位位地推导出x是多少了,1-8位x与CC的bit位全是不同的,这就很简单,x应该是

00110011,转换成16进制就是33

在线进制转换器 | 菜鸟工具 (runoob.com)

image-20220417100932010

与33异或

010

image-20220417101027606

image-20220417101051418

看起来很成功

image-20220417101106054

保存,修改后缀为jpg,打开,

image-20220417101226255

这张图片还从来没见过,百度一下

原来需要根据图片中的信息定位,查询网站

https://v.juhe.cn/cell/Triangulation/index.html?s=inner

image-20220417121700455

这个flag很离谱,是中文

flag{桂林电子科技大学花江校区}

3.flag

flag{桂林电子科技大学花江校区}

4.知识点

二进制异或,联通基站定位

29.Beautiful_Side

1.题目概述

image-20220417132136399

image-20220417132202927

2.解题过程

看题目描述,应该和二维码有关

010打开

image-20220417132329526

在文件尾后面发现了png数据,存下来

选中后复制为16进制文本

image-20220417132431797

然后新建一个010文件,粘贴自16进制文本

image-20220417132510899

存下来,打开

image-20220417132545131

是一张残缺的二维码,试了试扫不出来

再回到刚刚图片,stegsolve打开也没发现啥,silent eye也没解出来东西,

百度一下能不能修复

image-20220417133655489

试试看

借助网站

QRazyBox - QR Code Analysis and Recovery Toolkit (merricx.github.io)

新建一个project

image-20220417134531203

然后新建空白的二维码(导入会出错)

image-20220417134602243

调整大小为29x29,这是根据那个残缺的二维码确定的

image-20220417134723776

尺寸说明如下,共29个间隔

image-20220417134428984

然后就一点点的根据这一半二维码进行填充,记得,补全黑色部分后,也要把白色的部分填补上,因为灰色是算“空”的。借助这个分隔进行填充,不然容易搞错

image-20220417135902411

image-20220417142548020

然后点击Tools-Extract QR Infomation

image-20220417142820457

image-20220417142803278

就看到flag了

image-20220417142639096

3.flag

flag{OQWIC_4DS1A_S034S}

4.知识点

二维码修复工具

30.大流量分析(二)

1.题目概述

image-20220417150918660

image-20220417150937972

2.解题过程

打开第一个看看

image-20220417151003851

邮箱协议

POP3

POP3是Post Office Protocol 3的简称,即邮局协议的第3个版本,它规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议。它是因特网电子邮件的第一个离线协议标准,POP3允许用户从服务器上把邮件存储到本地主机(即自己的计算机)上,同时删除保存在邮件服务器上的邮件,而POP3服务器则是遵循POP3协议的接收邮件服务器,用来接收电子邮件的。(与IMAP有什么区别?)

SMTP

SMTP 的全称是“Simple Mail Transfer Protocol”,即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范,通过它来控制邮件的中转方式。SMTP 协议属于 TCP/IP 协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地。SMTP 服务器就是遵循 SMTP 协议的发送邮件服务器。
  SMTP 认证,简单地说就是要求必须在提供了账户名和密码之后才可以登录 SMTP 服务器,这就使得那些垃圾邮件的散播者无可乘之机。
  增加 SMTP 认证的目的是为了使用户避免受到垃圾邮件的侵扰。

IMAP

IMAP全称是Internet Mail Access Protocol,即交互式邮件存取协议,它是跟POP3类似邮件访问标准协议之一。不同的是,开启了IMAP后,您在电子邮件客户端收取的邮件仍然保留在服务器上,同时在客户端上的操作都会反馈到服务器上,如:删除邮件,标记已读等,服务器上的邮件也会做相应的动作。所以无论从浏览器登录邮箱或者客户端软件登录邮箱,看到的邮件以及状态都是一致的。(与POP3有什么区别?

参考:什么是POP3、SMTP和IMAP?-163邮箱常见问题

百度一下常用的SMTP协议

image-20220417151048576

过滤smtp流量,可以很明显的看到几个邮箱地址

image-20220417151611901

打开其中一条

image-20220417151802075

可以知发送邮箱是 xsser@live.cn

3.flag

flag{ xsser@live.cn}

4.知识点

SMTP邮箱协议

31.[GKCTF 2021]FireFox Forensics

1.题目概述

image-20220417152052330

image-20220417152135097

2.解题过程

取证题目,名称是火狐,可以借助一个工具

firepwd ,github下载工具

https://github.com/lclevy/firepwd

打开解压后的文件夹,打开终端,输入

python firepwd.py logins.json

image-20220417192953987

在最后面看到flag

如果出错自行百度

注意这个flag不用flag{}包起来

3.flag

GKCTF{9cf21dda-34be-4f6c-a629-9c4647981ad7}

4.知识点

firepwd工具的使用

32.[DDCTF2018]第四扩展FS

1.题目概述

image-20220417193115594

image-20220417193148261

2.解题过程

010打开

image-20220417193243425

百度一下The fourth extended filesystem

image-20220417193351105

这不是前面那个文件恢复程序嘛

image-20220417193443852

没有img文件,先放着,

查看图片属性

image-20220417195251827

有备注,第一时间联想到压缩包密码

用Kali的foremost分离看看

foremost分离

image-20220417194048347

jpg文件夹里还是刚刚那张图片,压缩包打开是加密的,正好用前面那个备注里的信息破解一下试试

Pactera

还真是解压密码,得到一个file.txt

image-20220417195439665

这熟悉的感觉,

统计字频

脚本

import re

file = open('file.txt')    #根据路径自行调整
line = file.readlines()
file.seek(0,0)
file.close()

result = {}
for i in range(97,123):
   count = 0
   for j in line:
      find_line = re.findall(chr(i),j)
      count += len(find_line)
   result[chr(i)] = count
res = sorted(result.items(),key=lambda item:item[1],reverse=True)

num = 1
for x in res:
      print('频数第{0}: '.format(num),x)
      num += 1

image-20220417195829402

D:\Programes\py37_work\Scripts\python.exe D:/Programes/pythonProject/字频统计.py
频数第1:  ('h', 1700)
频数第2:  ('u', 1650)
频数第3:  ('a', 1600)
频数第4:  ('n', 1550)
频数第5:  ('w', 1500)
频数第6:  ('e', 1450)
频数第7:  ('s', 1350)
频数第8:  ('i', 1300)
频数第9:  ('k', 1250)
频数第10:  ('o', 1150)
频数第11:  ('b', 0)
频数第12:  ('c', 0)
频数第13:  ('d', 0)
频数第14:  ('f', 0)
频数第15:  ('g', 0)
频数第16:  ('j', 0)
频数第17:  ('l', 0)
频数第18:  ('m', 0)
频数第19:  ('p', 0)
频数第20:  ('q', 0)
频数第21:  ('r', 0)
频数第22:  ('t', 0)
频数第23:  ('v', 0)
频数第24:  ('x', 0)
频数第25:  ('y', 0)
频数第26:  ('z', 0)

进程已结束,退出代码0

结果似乎有点问题,还是用网站吧

网站

语料库在线--字词频统计 (zhonghuayuwen.org)

image-20220417200152798

3.flag

flag{huanwe1sik4o!}

4.知识点

图片属性,foremost分离,字频统计

posted on 2022-04-17 20:09  cuihua-  阅读(229)  评论(0编辑  收藏  举报

导航