认真你就输了
解压得到一个后缀名为xls的文件,用office打开提示文件已损坏
用binwalk工具对其分析,发现存在许多Zip archive data数据文件,用foremost工具对其分离
分离得到一个压缩包文件,解压,里面为xls文件的格式
遍历文件目录,在\xl\charts文件夹下得到flag
藏藏藏
下载附件得到一个压缩包,压缩包内有一张图片和一个文本,其中图片名为“藏藏藏”,文本内容为flag格式,根据思路是对图片进行分析
在kali里对图片进行binwalk分析,得到zip压缩包结尾符,进行foremost分离
┌──(kali㉿kali)-[~/Desktop]
└─$ binwalk /home/kali/Desktop/藏藏藏.jpg
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 JPEG image data, JFIF standard 1.01
63967 0xF9DF End of Zip archive, footer length: 22
┌──(kali㉿kali)-[~/Desktop]
└─$ foremost /home/kali/Desktop/藏藏藏.jpg
Processing: /home/kali/Desktop/藏藏藏.jpg
|foundat=福利.docx��T\��(�8'�����Cpww▒
�▒� .�ݝ��܃�$����&��]�z�������]�v�V���
�����v���;83(����u@� �rGզ
*|可以看到分离出的压缩包里有福利.docx文件,解压打开得到一张二维码,扫描得到flag
你猜我是个啥
下载是个压缩包,打开提示压缩包损坏,明显被改过后缀名
在kali里用file命令分析得到是个PNG图片,改后缀打开是一个二维码,扫描提示”flag不在这”
┌──(kali㉿kali)-[~/Desktop]
└─$ file attachment.zip
attachment.zip: PNG image data, 245 x 256, 8-bit/color RGBA, non-interlaced
那么思路方向肯定是png隐写,用binwalk发现没有隐藏文件,用zsteg分析是否是LSB隐写发现flag
┌──(kali㉿kali)-[~/Desktop]
└─$ binwalk attachment.png
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 PNG image, 245 x 256, 8-bit/color RGBA, non-interlaced
41 0x29 Zlib compressed data, default compression
┌──(kali㉿kali)-[~/Desktop]
└─$ zsteg attachment.png
[?] 24 bytes of extra data after image end (IEND), offset = 0x4b5
extradata:0 .. text: "\r\n%00xaflag{i_am_fl@g}\r\n"just_a_rar
下载是一个rar压缩包文件,rar压缩包里也有一个名为”四位数”的rar压缩包文件,将其解压
用archpr爆破四位数口令,得到压缩包密码2016
里面是一张jpg图片,在kali里分析EXIF信息时得到flag
┌──(kali㉿kali)-[~/Desktop]
└─$ exiftool flag.jpg 1 ⨯
ExifTool Version Number : 12.32
File Name : flag.jpg
Directory : .
File Size : 102 KiB
File Modification Date/Time : 2016:07:26 21:40:10-04:00
File Access Date/Time : 2021:12:21 02:31:56-05:00
File Inode Change Date/Time : 2021:12:21 02:31:56-05:00
File Permissions : -rwxrw-rw-
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
JFIF Version : 1.01
Resolution Unit : inches
X Resolution : 1
Y Resolution : 1
Exif Byte Order : Big-endian (Motorola, MM)
XP Comment : flag{Wadf_123}
Padding : (Binary data 2060 bytes, use -b option to extract)
Image Width : 580
Image Height : 868
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 580x868
Megapixels : 0.503一叶障目
压缩包里解压得到一张png图片,模糊不清,凭直接是修复png的宽高
用脚本计算并修复得到flag
鸡你太美
压缩包里有两个GIF文件,一个”篮球.gif”,一个”篮球副本.gif”,但”篮球副本.gif”文件显示不了,文件大小比”篮球“大,明显信息隐藏在这个文件里
用010editor打开,对比两个文件,发现”篮球副本.gif”文件头少了四个字节,插入填上GIF8字节,打开发现flag
纳尼
压缩包里有两个文件,一个6.gif文件,打不开,一个题目.txt文件,内容为咦!这个文件怎么打不开?
思路为文件修复或修改文件后缀名,拉进010editor,发现熟悉的少了四个字节的GIF文件头,补充上去打开gif文件,发现有几段帧,每段帧有几个字母,发现最后一段字母最后有=,可能为base64加密
用GIFFrame将所有帧保存到一个文件夹里,按每帧顺序记下字母,最后base64解密,将开头CTF替换成flag得到flag
Q1RGe3dhbmdfYmFvX3FpYW5nX2lzX3NhZH0=
CTF{wang_bao_qiang_is_sad}
flag{wang_bao_qiang_is_sad}