mis题库,misc解题

　　标题打包在这里。

　　拾取代码：fhkb

　　MISC流量包分析流量包_1流量包_2流量包_3图片隐写_1图片隐写_2图片隐写_3图片隐写_4图片隐写_5图片隐写_6音频隐写_1音频隐写_3音频隐写_4音频隐写_5取证分析_1取证分析_2神秘文件磁盘流量包分析流量包_1

　　是日志文件，可以用记事本打开查看，更清晰明了，插件解码。

　　粗略看了一下二分法的sql盲注，每个语句返回的状态码分别是200和404。

　　我们继续回头看，有一条flag_is_here的记录，>按url解码后是 。

　　如何判断flag的第一个字？

　　sql盲注中测试的字符中状态码为200的最后一条语句的ASCII值加1就是猜测正确的ASCII值，转换后的字符就是我们需要的答案的字符之一。

　　例如

　　flag_is_here ORDER BY flag LIMIT 0，1)，1，1))101和 RCKM = RCKMSubmit=Submit HTTP/1.1 200 1765

　　我们可以看到当LIMIT 0，1)，1，1))101是第一个字符的最后一个状态码为200的语句。这时ASCII码是101，那么101 1=102，102的ASCII码对应F，所以flag的第一个字符是F。

　　知道了原理，我们就能找到那串旗子。如果写不出剧本，就要一个一个手动推演。

　　发布脚本(python2.7)

　　Import导入urllib f=open (d:/access.log ， r) #下载的access.log文件的绝对路径，记得写全英文lines=f . readlines()datas=[]for line in lines:t=urlib . un quote(line)#是对文本进行URL decode if 1765 in t and flag in t:#过滤掉相关标志，正确猜测(最长200)data . append(t)flag _ ascii={ } for data in data:match obj=re . search(中的数据*?),1\)\)(.*?)和，data) #在date中查找符合正则表达式的字符串并将匹配的字符串存储在变量matchObj中if matchObj:key=int(match obj . group(1))#取变量match obj中第一个括号内的内容(即(。*?)并将其转换为十进制value=int(matchObj.group(2)) 1 #取变量matchObj中第二个括号内的内容并将其转换为十进制flag_ascii[key]=value #使用字典，将最后正确猜测的ascii码flag= 保存为flag _ ascii.values()中的value:flag=chr(value)print flag。

　　获取答案标志{sqlm4p_15_p0werful}

　　Packet _2使用wireshark打开数据包，所以设置它搜索是否有标志字符串并得到提示。

　　把搜索设置改成这个，搜索的时候发现了几个熟悉的东西。

　　又过了几次，发现是国旗，于是整理一下。

　　标志{ Icmp _ back door _ can _ transfer-some _ information }

　　Traffic _3打开的附件是一个wifi.cap文件，而这是一个wifi握手包，通过它可以暴力破解密码。

　　用kali的两个软件，crunch生成字典；空气破碎、爆破规范

　　使用kali中的crunch生成字典

　　Unc命令格式：crunc最小长度最大长度[选项]

　　crunch 11 11-t 1391040% % % wifi . txt-t指定模式@插入小写字母，插入大写字母%插入数字插入特殊符号得到一个手机号码的字典，然后用这个字典来爆wifi密码。

　　aircraft-ng-ww ifi . txt wifi . cap-w后跟字典路径

　　答案出来了，flag{13910407686}

　　图像隐藏术图像隐藏术_1

　　获取一张图，先用winhex打开查看。第一，ctrl f，搜索看有没有标志串，找出来有没有。

　　然后，往下看，看到了右边代码中与这组乱码格格不入的一段代码。猜测是一种代码。

　　在CTF在线工具中，用解码工具试一下，在html编码中找到flag。

　　关键{你是对的}

　　图像隐写术_2

　　像往常一样，先用winhex打开它。先搜索一下有没有flag关键字，没有找到。

　　猜测图片的宽度和高度被修改，放入kali打开。如果宽度和高度被修改，kali将报告一个错误。

　　真的改变了宽度和高度。

　　百度了一下，得到了。

　　9 50 4E47PE头是png照片，也就是说照片中不存在嵌入Exif信息的可能性。

　　给你简单介绍一下。

　　89 50 4E 47是文件的格式

　　00000d表示IHDR报头长度为13。

　　49 48 44 52 IHDR身份证

　　0 00 01f4图像的宽度

　　000 01a4图像高度

　　最后四位数

　　CB D6 DF 8 A是CRC校验

　　查看PNG文件格式时，IHDR后面的八个字节是宽度和高度值，这里报错是因为图片的宽度和高度被修改了。

　　将图片的宽度和高度更改为相同。

　　BUGKU

　　图像隐写术_3 wc，这不就是我们物联网课程的图标吗？

　　和以前一样，用winhex打开，检索标志字符串，但是如果没有找到，就用kali打开。如果能打开，说明宽度和高度没有被修改。与卡利的宾沃克核对图片。

　　有猫腻，有隐情。使用最重要的3.jpg恢复它，然后添加图片。打开它得到旗帜。

　　falg { ns CTF _ e 6532 a 34928 a3 D1 dadd 0b 049 D5 a3 cc 57 }

　　图像隐写术_4

　　先放在winhex里，但是没有找到标志。卡莉打开，没有修改宽度和高度。宾沃克分析过了，没有隐藏文件。之后百度发现了一个神奇的工具zsteg。

　　Gem安装zsteg #安装zsteg查看这里的zsteg工具。

　　我们可以用这个工具在kali运行。

　　看到一个特殊的bse64代码，拿过来解码。

　　flag { 542 FB 433 f 4c 8 ebf 02 f 78 e0f 0436 d2e 76 }

　　图像隐写术_5

　　先放在winhex里，但是没有找到标志。卡莉打开，没有修改宽度和高度。宾沃克分析过了，没有隐藏文件。然后用zstog工具运行它。

　　qwxf {你_说_鸡_美？}

　　图像隐写术_6

　　提问者的脑洞有点大。我们可以看到这是七代人的霍颖。我们用StegSolve打开，保存第七帧的图片，然后用StegSolve打开这个保存的图片。一直向右走，你就能看到旗子。

　　flag { 49 bdbe-abfe-472-9f 66-a 533331 e 6 }

　　音频隐写术音频隐写术_1本来有两个文件，但是用来破解密码的压缩包找不到了。让我们看一看。

　　当你打开下载的文件时，你会发现两个文件都需要密码解密，也就是说没有获取密码的线索。

　　那你只能粗鲁的直接爆他的密码，也就是

　　解密money.zip并打开里面的文件，在文件的底部，就是：

　　莫尔斯密码解密：

　　用mp3文件解压这个包并获取密码，然后使用工具MP3Stego。

　　在cmd界面下，拖动decode.exe运行，然后我们会得到一个txt文件，里面包含base64代码，这样我们就可以解码了。

　　moctf{#S1ngl3_D0g#}

　　音频隐写术_3音频文件，先用audacity打开，查一下声谱，发现最精彩的部分有点奇怪。

　　放大后发现后片是这样的。

　　假设上面是1，下面是0，排序得到一串01的字符串，用ascii码替换8位一组得到的十进制数。

　　这个一个一个的有点长。我数了两次，但是两次都错了。我没有完成它。下面简单介绍一下思路和方法。

　　音频隐写术_4使用Audacity加载音频文件，如图查看频率图。

　　flag { e 5353 bb7b 57578 BD 4d a1 c 898 A8 e0d 767 }

　　音频隐写术_5看到附件提示是silenteye，用工具打开解密得到flag。

　　标志{lsb_is_so_easy}

　　取证分析取证分析_1先放在kali文件里，看一下文件，是ext4文件。

　　使用extundelete恢复ext4文件系统的数据，恢复的目录保存在RECOVERED_FILES中。

　　打开目录文件并读取标志。

　　f l a g { f u g l y c a t s n e d l u v 2 }

　　法医分析_2打开2个文件

　　波动性用途：

　　Volatility -f文件名-profile=profile插件[插件参数]

　　获取- profile的参数。

　　使用imageinfo插件猜测转储文件的配置文件值：WinXPSP2x86

　　volatility -f mem.vmem imageinfo

　　列举过程，你可以在TrueCrypy.exe找到一个过程。

　　volatility-f mem . vmem-profile=win xpsp 2 x 86 PS list

　　TrueCrypy.exe是一个加密程序，我们可以通过加密引入怀疑。我们需要从内存中转储密钥。转储中的文件是1464.dmp.

　　我们需要使用Elcomsoft Forensic Disk Decryptor(简称Elcomsoft Hard Disk Forensic Decryptor，EFDD)软件获取密钥并破解文件。

　　查找要保存的密钥

　　PCTF{T2reCrypt_15_N07_S3cu2e}

　　神秘的文件附件是一个flag.zip压缩包(需要密码)和图片。双击压缩包发现图片也在那个压缩包里，这是明文攻击。用winrar把logo压缩成zip。记得用winrar压缩。

　　然后用ARCHRP破解得到密码。

　　用这个密码打开加密文件。

　　把文件放在kali里用binwalk看，

　　如果真的有猫腻，先把文件分开，zgdg找到flag.txt，打开发现是base64代码，就解码吧。

　　标志{d0cX_1s_ziP_file}

　　把它放在diskkali kali先和binwalk确认一下。

　　事情有些蹊跷，用最先恢复看看。

　　压缩包里还有一个压缩包，然后里面压缩包里的flag.png就被锁定了。原文件改为zip，找到一个自述文件，打开后密码被删除。

　　将源文件更改为。txt并找到密码。

　　使用此密码提取旗帜图片

　　在Windows下打开是

　　Kali打开时提示文件宽度和高度有问题。

　　用winhex修改图片的高度，把之前的01改成02。

　　flag { 3a e25 f 72880 AC 8 ca 7b 1369 a 32 e 6 C4 EDB 34 FDD 886 }

　　题包里还有一个js编码题目，是师傅用一个舒服的哈密瓜做的。

郑重声明：本文由网友发布，不代表盛行IT的观点，版权归原作者所有，仅为传播更多信息之目的，如有侵权请联系，我们将第一时间修改或删除，多谢。