简单日志审计

下载附件得到一个日志文件

简单浏览，发现有两段base64编码，其中第二段解码得到flag

UNCTF{CTF?YouShouJiuXing}

电信诈骗

题目给出一段编码：qi]m^roVibdVbXUU`h

当时解不出来，后来发现是变异凯撒

在密码学中，凯撒密码（英语：Caesar cipher），或称凯撒加密、凯撒变换、变换加密，是一种最简单且最广为人知的加密技术。它是一种替换加密的技术，明文中的所有字母都在字母表上向后（或向前）按照一个固定数目进行偏移后被替换成密文。例如，当偏移量是3的时候，所有的字母A将被替换成D，B变成E，以此类推。

而这段字符，除了有字母还有各种符号，所以不是用的字母表进行的替换加密，很有可能是用的ASCII码表

而我们从前面知道flag格式是unctf，所以我们对照前面几个字符就知道偏移量

可以看到，ASCII码偏移量第一个字符为4，第二个为5，依次类推为4+i

至此修改变异凯撒脚本

s = 'qi]m^roVibdVbXUU`h'
for i in range(len(s)):
    print(chr(ord(s[i]) +4+i),end='')

flag：unctf{yauoreright}

引大流咯，happy

下载附件是一张jpg图片，各种隐写工具用上也没得出什么

后来发现是修改高度（涨姿势了，没改过jpg高度）

jpg图片基本信息在FF C0后，用010editor有jpg格式模板，WORD Y_image是图片高度，WORD X_image是图片宽度，随意修改高度为2000，看到flag

flag：UNCTF{BellalaBella}

LPL

解压得到一张图片和压缩包，其中压缩包含有密码

将图片拉进010editor，发现CRC校验错误

将错误输出的值进行hex，得到解压密码

将4544476e622121进行hex转换，得到EDGnb!!

压缩包里有文本和图片，文本是哔哩哔哩视频链接，图片是时间

一直往下翻，翻麻了

flag：flag{LpL_zgbr_rNg_eDg777}

倒立洗头

打开附件文本是一段字符，“倒立洗头”想到是进行反转，于是跳到最后看字符

有点像jpg文件开头FFD8FF，应该被篡改过，看回开头，反转的FFD9，感觉像是jpg，将ffd8改成d8ff，用notepad++工具将hex转成ASCII，用脚本反转写入jpg

open('flag.jpg','wb').write(open('key.txt','rb').read()[::-1])

打开图片，发现最上面有一条奇怪的横线

用010editor打开，发现data段有一段base64编码

粘贴去解码，发现是佛曰编码，把佛日改成佛曰去解码得到flag

flag：unctf{it_is_easy_right?}