BUU-Misc-第四章

5000前位次我又回来了！经过我国庆假期最后一天的努力，我从6500+又提升了不少，继续努力！

25.神秘龙卷风

题目描述：神秘龙卷风转转转，科学家用四位数字为它命名，但是发现解密后居然是一串外星人代码！！好可怕！ 注意：得到的 flag 请包上 flag{} 提交 打开题目是一个需要密码的压缩包，根据题目提示，可能为4位数加密，丢到ARCHPR里爆破试试看：

解出来密码是5463，打开看看是什么

这应该是一种编码，我们分析这种特征，这个龙卷风形的字符串里只有三中字符： . > + 那么去去搜搜看，还真搜到了：brainfuck编码 简称为BF，这是一种极小化的计算机语言

这里分享一个在线解码网站：brainfuck编码 由于这种编码不常见，我也就不研究着写脚本了(就是懒的)

26.后门查杀

题目描述：小白的网站被小黑攻击了，并且上传了Webshell，你能帮小白找到这个后门么？(Webshell中的密码(md5)即为答案)。 注意：得到的 flag 请包上 flag{} 提交 解压得到一个html文件包，这种情况直接掏出D盾查杀就好 ::: 功能特性简介::: 一句话免疫，主动后门拦截，SESSION保护，防WEB嗅探，防CC,防篡改,注入防御，防XSS,防提权，上传防御，未知day防御，异形 脚本防御等等。防 止黑客入侵和提权，让服务器更安全。 官网下载地址：D盾

找到这个对应的文件夹：

27.数据包中的线索

题目描述：公安机关近期截获到某网络犯罪团伙在线交流的数据包，但无法分析出具体的交流内容，聪明的你能帮公安机关找到线索吗？ 注意：得到的 flag 请包上 flag{} 提交 用 wireshark 打开.pcapng文件，大概点击都看看，发先Tcp的包比较多，http的包比较少，这里就先过滤出http的包看看

分别追踪一下http流，发现在： 142 10.091579 172.16.80.120 172.16.66.100 HTTP 444 HTTP/1.1 200 OK (text/html) 发现了很长的一段base64

按照套路来说，如果常规的base64编码解不开，又字符串这么这么长的情况下，那么可以断定为图片了，直接上脚本！

import base64
f=open('/Users/macbook/Desktop/1.txt','r').readlines()
img=''
for i in f:
    img+=i.strip()
imgdata = base64.b64decode(img)
file = open('/Users/macbook/Desktop/1.jpg', 'wb')
file.write(imgdata)
file.close()

28.荷兰宽带数据泄露

下载附件得到一个conf.bin的文件，尝试解压但是发现打不开，同时也没有输入密码的提示 折腾了半天发现其实可能是系统差异导致这个附件在我这里显示是一个被压缩的文件包，但是实际上并不是，我上网了搜了一下，这是个路由器配置文件，路由器备份的配置文件一般是.bin格式，默认名称通常是conf.bin。可以使用路由器密码查看器RouterPassView直接进行查看。如图所示是根据提示用户名查看到的flag信息。

这里以为提交的是密码，发现不对，又提交了一遍用户名，搞定。

29.来首歌吧

把它分离出来

这里我们可以辅助播放仪表来判断，很方便，简单的就记录下来了： ..... -... -.-. ----. ..--- ..... -.... ....- ----. -.-. -... ----- .---- ---.. ---.. ..-. ..... ..--- . -.... .---- --... -.. --... ----- ----. ..--- ----. .---- ----. .---- -.-.

关于脚本可以看我密码学的文章，这里直接输出结果：

5BC925649CB0188F52E617D70929191C
flag：
flag{5BC925649CB0188F52E617D70929191C}

30.webshell后门

题目提示：朋友的网站被黑客上传了webshell后门，他把网站打包备份了，你能帮忙找到黑客的webshell在哪吗？(Webshell中的密码(md5)即为答案)。 注意：得到的 flag 请包上 flag{} 提交

老样子还是丢到D盾查杀一下，看看是什么东西

带flag提交即可

31.九连环

拿到的是一张图片，老样子先丢到010editer里面看看

图片里藏了zip压缩包，先分离一下，这里使用dd命令

但是这次还是一样，没有找到任何爆破范围的信息，或者密码可能为几位数字/字母/组合未知 因此，有理由怀疑是伪加密，懂我意思吧，上010editer里面看看，但是并没有找到可疑的地方，也就是说 qwe.zip需要一个解压密码，但是并不知道爆破范围，根据CTF第一定律(我瞎编的)题目不会给没用的信息，比如这张图片

用binwalk，010editer，Stegsolve，Steghide都看看 发现图片有隐写文件，使用steghide extract -sf good.jpg，空密码即可

解压密码：bV1g6t5wZDJif^J7

解压qwe.zip就拿到flag了

32.面具下的flag

直接上binwalk分析一波

得到一个压缩包

发现有伪加密 将 09 00 改为 00 00

(Mac上改了好久我以为是哪里出了问题，最后发现windows上能解压的出来，这就很奇怪) 放kali 中用7z来解压就能得到flag文件：7z x flag.vmdk -o./

查看目录结构 找到 key_part_one 里的 NUL文件 和 key_part_two 里的 where_is_flag_part_two.txt:flag_part_two_is_here.txt 注意:windows下解压不会有<where_is_flag_part_two.txt:flag_part_two_is_here.txt这个文件 只有linux用命令解压才会有

一个一个来，首先： 1.key_part_one

BrainFuck解密 这个第25题出现过哦

2.key_part_two where_is_flag_part_two.txt:flag_part_two_is_here.txt

两部分连接：flag{N7F5_AD5_i5_funny!}