带你走入CTF之路-杂项MISC(四) – 作者:凯信特安全团队

今天,我们来接着bugku上后续的MISC题目,进行新的知识点内容的学习。

1、又一张图片还单纯吗?

图片.png     这是一个URL链接,我们访问该URL链接会发现一个图片,在尝试前几节介绍的方法后,我们第一时间点击查看源代码,只是发现titile标签名字“2.jpg(640*444像素)”,会不会和像素有关呢?

图片.png       我们尝试把该图片另存到本地,通过winhex(第一节有分享的链接下载地址)打开看看,可以发现该文件的文件标识头为FF D8 FF,尾部为:FF D9。确实是jpg图像。但是在中间我们会发现一段特殊的文本:(windows photoshopCS6)

图片.png那么此时我们可以怀疑这个文件中嵌入了其他文件。尝试使用binwalk去检测下。

图片.png如上图,发现存在其他文件,尝试用foremost进行文件分离。如图所示:

     通过这个题目我们可以看到,新的思路,就是在某个文件中包含另一个文件,要使用binwalk和foremost对文件进行分离。但是首先还是要去观察文件的属性和16进制码。

2、猜

      这个比较简单,一定要注意审题,防止自己的思路被固化,“key{某人的名字}”,然后给了一个看不出人名的图片,提醒一下啊,百度识别图片就可以。自己可以尝试去找。(当然,如果你是某人的粉丝,也可能一眼就看出来)

3、宽带信息泄露

      注意审题,强调了这么多遍,审题是最主要的,如果一开始思路偏了很容易钻到牛角尖的地方出不来,题目告诉的是“宽带信息泄露”,flag{宽带用户名},那么可以肯定的是让我们去找宽带的用户名密码信息泄露的东西,这些配置文件存储在conf.bin。首先我们要对conf.bin这个文件有所了解,它是一个路由器配置文件,路由器备份的配置文件一般是.bin格式,默认名称通常是conf.bin。可以使用路由器密码查看器RouterPassView直接进行查看。如图所示是根据提示用户名查看到的flag信息。

4、隐写2

      按照常理,我们最初下载图片检查图片的属性,如图所示:

       我们看到标题为hint:主题:网络安全工作室在哪?(hint英文是暗示的意思)。我们继续使用winhex查看一下该图片,发现jpg的图片其实是FF D8 FF文件标识头,但是结尾并不是FF D9。

     很可能包含了多个内容,通过binwalk进行分析一下,如图所示:

       可以发现,确实如我们所料,里面隐藏了其他文件,使用binwalk中-e参数提取文件。提取文件后,我们会发现有一个提示文件,如图所示:

       记住,不要相信在表面看到的文件格式,一定要用winhex查看一下,或者使用kali下的file命令查看。

使用winhex查看:发现PK。是zip压缩包的文件标识头:

使用kali下file命令,发现是zip文件:

(附带文件标识头信息链接地址:
https://www.cnblogs.com/WangAoBo/p/6366211.html

那么我们就把后缀修改回正确的格式吧,flag.zip。毫无疑问flag肯定在这个里面。主要是这个压缩包密码是什么?

根据提示图片我们可以了解到:

      一开始根据名字个数:334组个去猜解,都不是,又根据KQJ13 12 11组和去猜解也都不是。根据提示:是3个数字。又找数字键盘对应的字母575各种组合也不是。最后通过电脑键盘面对位来进行尝试178组合,发现密码是871。

     (为什么是871呢?发现871分别对应的是KJQ,查理曼红桃K在扑克中代表的是国王,雅典娜黑桃Q在扑克中代表的是皇后,兰斯洛特梅花J在扑克中代表的是骑士,好吧,这样根据排位我们就能看出出题者的思路:K(国王)J(骑士)Q(皇后),不得不佩服出题者的思路)

      当然也是在后续纠结为什么出题者要给出这些信息作为提示,所以才通过各种收集进行的一个解释。针对这个题也可以爆破,毕竟3位数,使用爆破工具:

直接使用kali下的fcrackzip即可。参数使用方法和说明:

       发现可能的密码,尝试解压就可以。(-b参数使用爆破,-l参数限定范围,-c参数指定值有aA1,分别表示小写字母,大写字母和数字)。可是解压出来又发现一个图片,还是继续我们的思路使用winhex打开查看flag,发现没有。

    找到文件标识头FF D8 FF,在看文件尾fl@g!不得不佩服出题者。

5、多种方法解决

     题目给了我们一个3.zip的文件。我们通过winhex打开发现文件标识头没什么问题,正常解压。

      解压后会发现一个3.exe的可执行程序,但是该程序经过我们运行后并不是一个可执行程序,通过winhex打开发现是个图片形式的base64编码的文件。遇到类型的文件,我们就要进行一个转换。即图片和base64编码之间的转换,复制一下代码(此处可用记事本打开key.exe,如果默认没有记事本打开方式,可以更改图片为.jpg然后使用记事本打开)

     通过站长工具进行转换发现得到一个二维码。扫描该二维码就可以获取flag。

      重点:这里要熟悉通过winhex打开文件后的各种类型和结构,发现不是一个正常格式的编码程序,且有data:image/jpg;base64就完全是base64结构体的文件类型。通过转换可得到原图。

来源:freebuf.com 2020-03-16 21:46:10 by: 凯信特安全团队

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论