BUU-Misc-第二章

9.LSB

这里盲猜一波图片隐写，先丢到Stegsolve看看，进行数据通道提取分析 发现在Red plane 0 Green plane 0 Blue plane 0通道中发现图片上方有横条装的未知内容

同时调整三个参数为0，发现这是一张图片，Save Bin保存为flag.png

扫描一下，直接拿到flag

cumtctf{1sb_i4_s0_Ea4y} 更改为提交：(做题做糊涂了不知道题目要求了hhh) flag{1sb_i4_s0_Ea4y}

10.文件中的秘密

题目提示：小明经常喜欢在文件中藏一些秘密。时间久了便忘记了，你能帮小明找到该文件中的秘密吗？ 注意：得到的 flag 请包上 flag{} 提交

Misc的题一般情况下比较简单，直接就能拿到flag。

11.wireshark

题目提示：黑客通过wireshark抓到管理员登陆网站的一段流量包（管理员的密码即是答案) 注意：得到的 flag 请包上 flag{} 提交 打开是个.pcap的流量包

直接搜索flag，password即为flag 或者也可以根据提示：http.request.method==POST

12.rar

题目提示：这个是一个rar文件，里面好像隐藏着什么秘密，但是压缩包被加密了，毫无保留的告诉你，rar的密码是4位纯数字。 注意：得到的 flag 请包上 flag{} 提交 常规做法：根据提示使用ARCHPR进行四位数的掩码爆破

密码是：8795 解压得到：flag{1773c5da790bd3caff38e3decd180eb7}

13.zip伪加密

之所以叫伪加密，是因为拖到Ziperello中，类似于直接被提示，请打开真正的zip加密包，所以说遇到这种题我们应该丢到winhex之类的工具里去看。 这里先讲讲什么是伪加密吧，知识点：

伪加密

一个 ZIP 文件由三个部分组成：压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志。 伪加密原理：zip伪加密是在文件头的加密标志位做修改，进而再打开文件时识被别为加密压缩包。 压缩源文件数据区：

50 4B 03 04：这是头文件标记（0x04034b50）
14 00：解压文件所需 pkware 版本

01 00：全局方式位标记（判断有无加密的重要标志）

08 00：压缩方式
5A 7E：最后修改文件时间
F7 46：最后修改文件日期
16 B5 80 14：CRC-32校验（1480B516）
19 00 00 00：压缩后尺寸（25）
17 00 00 00：未压缩尺寸（23）
07 00：文件名长度
00 00：扩展记录长度

6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500

压缩源文件目录区：

50 4B 01 02：目录中文件文件头标记(0x02014b50)
3F 00：压缩使用的 pkware 版本
14 00：解压文件所需 pkware 版本

00 00：全局方式位标记（有无加密的重要标志，这个更改这里进行伪加密，改为09 00打开就会提示有密码了）

08 00：压缩方式
5A 7E：最后修改文件时间
F7 46：最后修改文件日期
16 B5 80 14：CRC-32校验（1480B516）
19 00 00 00：压缩后尺寸（25）
17 00 00 00：未压缩尺寸（23）
07 00：文件名长度
24 00：扩展字段长度
00 00：文件注释长度
00 00：磁盘开始号
00 00：内部文件属性
20 00 00 00：外部文件属性
00 00 00 00：局部头部偏移量

6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001

压缩源文件目录结束标志：

50 4B 05 06：目录结束标记
00 00：当前磁盘编号
00 00：目录区开始磁盘编号
01 00：本磁盘上纪录总数
01 00：目录区中纪录总数
59 00 00 00：目录区尺寸大小
3E 00 00 00：目录区对第一张磁盘的偏移量
00 00：ZIP 文件注释长度

做题技巧！ 用010hex打开zip文件。

把504B0304后的第3、4个byte改成0000还有
把504B0102后的第5、6个byte改成0000即可破解伪加密

无加密
压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为00 00
假加密
压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为09 00
真加密
压缩源文件数据区的全局加密应当为09 00
且压缩源文件目录区的全局方式位标记应当为09 00

开始解题： 解压的时候要密码从题意中我们可以知道这个压缩包是伪加密用010 Editor来打开

改为00 00 就可以了，这里一共改两处，分别是：

这道题目出的很有想法，骗过师傅们还骗过了破解工具，因为修改01 02后面的09 00，也确实是一个zip伪加密，只不过这个伪加密，只能在解压的时候，被解压软件认为是伪加密，拖到暴力破解软件中，便是被检测出来。但是这道题的伪加密更逼真，，就是把01 02 ，03 04后面都修改为09 00，这个时候得到的zip伪加密就足以，以假乱真。不仅让别人，通过看03 04，01 02的时候认定它是一个真加密，而且在通过Ziperello暴力破解的时候，也是认为它是一个真加密，然后去暴力破解的时候，发现解不出来，因为这本来就是一个没有密码的zip，怎么能解出来密码，解不出来之后，还会让破解的人认为这个zip的密码太复杂了。其实这就是一种偷天换日的zip伪加密，以假乱真。 两个节点都改好以后，就可以解压得到一个flag.txt，打开得到flag。

flag{Adm1N-B2G-kU-SZIP}

14.qr

题目提示：这是一个二维码，谁用谁知道！ 注意：得到的 flag 请包上 flag{} 提交

扫描之后得到了这一串： 欢迎参加本次比赛，密码为 Flag{878865ce73370a4ce607d21ca01b5e59} emmm我以为还有被md5的可能，于是还去破解了一波，折腾了半天，发现这个就是flag，这道题没什么好说的直接跳过

15.被嗅探的流量

题目提示：某黑客潜入到某公司内网通过嗅探抓取了一段文件传输的数据，该数据也被该公司截获，你能帮该公司分析他抓取的到底是什么文件的数据吗？ 注意：得到的 flag 请包上 flag{} 提交 拿到题目，用wireshark打开得到一份流量包 题目提示我们数据藏在文件当中,于是查含文件的包：

http.request.method==POST

这里传了一张图片追踪流直接发现flag

flag{da73d88936010da1eeeb36e945ec4b97}

16.镜子里面的世界

使用Stegsolve查看是否LSB隐写，emmm由于我的Mac上没有完整的plane通道显示，这里我就用windows来做题了 修改RGB颜色分量的最低有效位，点击Preview（预览），在最上面就可以发现隐藏的flag了。