BUUOJ
- Misc
-
- [BSidesSF2019]diskimage
- [SUCTF2019]protocol
- [BSidesSF2019]thekey
- [GWCTF2019]math
- [GKCTF 2021]FireFox Forensics
- [SUCTF2018]dead_z3r0
- [INSHack2017]remote-multimedia-controller
- [QCTF2018]picture
- [羊城杯 2020]image_rar
- [INSHack2018]Spreadshit
Misc
[BSidesSF2019]diskimage
图片上半部分花花的,估计是隐写了什么数据
zsteg走一波,发现有磁盘数据
提取出来:
zsteg -e 'b8,rgb,lsb,xy' attatchment.png > disk
随后使用kali自带的
testdisk
工具,具体使用可以参考这篇博客
testdisk disk
找一下被删除的文件
把这个很显眼的
_LAG.ICO
恢复一下,选中它,按
c
即可复制,然后粘贴
拿到flag,如果看不到,把文件后缀改成png
[SUCTF2019]protocol
用wireshark打开,发现是usb流量
tshark导出一下
开头有一大堆0,在后面发现png图片头
把文件头前面的数据全部删除,另存为一个png图片,会发现这个png无法正常显示,这个是正常的,因为这段数据里面有很多个png的数据,foremost一下,提取出100多个图片。
每15个有内容的图片后面会跟着10个没有内容的图片
还是需要结合流量包再分析一下,按照length排序,第1个7845大小的
1441
号包开始看
数15个,然后接下来的
1989-5135
对应10张纯黑的图片,发现这10张图这个位置的数据一直在变化
把它们记录下来:
按着这个思路,回过头记录前面15张图片对应位置的数据:
会发现前一组数据中的每一位都在后一组中出现过,它们分别对应一张图片,因为foremost提取出的图片不是按照这个顺序的,所以010打开对照指定字节的数据,找到10张对应的图片
这里的图片左右颠倒了,这里的结果是
suctf{My_u
重复上述步骤,得到
suctf{My_usb_pr0toco1_s0_w3ak}
[BSidesSF2019]thekey
usb流量
直接导出发现数据很乱
于是回过头分析流量包,发现有多个usb设备的地址,其中出现频率最高的是
1.69.1
过滤一下
usb.src == "1.69.1"
,然后把这部分数据导出来
此时再次使用tshark命令
tshark -r 1.pcapng -T fields -e usb.capdata | sed '/^\s*$/d' > 1.txt
得到的是键盘流量,解一下得到
处理一下结果得到
CTF{MY_FAVOURITE_EDITOR_IS_VIM}
[GWCTF2019]math
nc连接,发现需要计算,并且需要在短时间内提交答案
Pass 150 levels and i will give you the flag~
====================================================
Now level 0
Math problem: 141 * 39 - 150 + 133 = ??? Give me your answer:
问题的格式是
a*b-c+d
,这里用到pwntool里的一些方法来写脚本,因为之前没写过,所以这里就直接借用八神师傅的
from pwn import *
p = remote('node3.buuoj.cn', '25564')
for i in range(0,150):
math = p.recvuntil('problem: ')
print(math)
a = int(p.recvuntil('*')[:-1])
b = int(p.recvuntil('-')[:-1])
c = int(p.recvuntil('+')[:-1])
d = int(p.recvuntil('=')[:-1])
p.sendline(str(a * b - c + d))
p.interactive()
这里用到几个
remote(“一个域名或者ip地址”, 端口) 连接到指定地址和端口
recvuntil() 正则匹配
sendline() 发送一行数据,相当于在数据末尾加\n
interactive() 取得shell之后使用,直接进行交互
因为我py2下没有安pwn这个库,所以我在py3下运行的
python3 123.py
等150题全部跑完,就可以执行命令了,cat flag即可
[GKCTF 2021]FireFox Forensics
这个是Firefox的网页保存密码的加密格式
百度到一篇博客,里面介绍了一个工具https://github.com/lclevy/firepwd
没啥难的,安装完之后,按照博客里的步骤来,运行一下就能得到flag
[SUCTF2018]dead_z3r0
下载得到一个无后缀文件,010看一下。
注意到前面有一段像是base64编码的东西,但是解出来毫无意义。
接着往下翻,发现像是pyc文件
把前面那些无意义的字节删去,另存为一个pyc文件
对于一个pyc文件来说,一般是反编译得到原py文件,或者是pyc隐写,这里测试后发现是后者。
stegosaurus
解密一手,这里在win系统上运行的时候报错,建议去kali里弄
python3 stegosaurus.py -x attachment.pyc
得到flag:
flag{Z3r0_fin411y_d34d}
[INSHack2017]remote-multimedia-controller
拿到一个流量包,wireshark打开
注意到有一个包很大
发现里面有一段base64
套了五层
flag:
flag{TCP_s0ck3t_4n4lys1s_c4n_b3_fun!}
[QCTF2018]picture
拿到的文件加上后缀,是一个图片
因为在buu上面没给任何提示,加上第一步挺脑洞的,就卡住了,看了师傅们的博客发现第一步是有密码的
lsb隐写
,密码就是图片中文字的拼音首字母----
wwjkwywq
python2 lsb.py extract attachment.png out wwjkwywq
得到一个加密脚本
#_*_ coding:utf-8 _*_
import re
import sys
ip= (58, 50, 42, 34, 26, 18, 10, 2,
60, 52, 44, 36, 28, 20, 12, 4,
62, 54, 46, 38, 30, 22, 14, 6,
64, 56, 48, 40, 32, 24, 16, 8,
57, 49, 41, 33, 25, 17, 9 , 1,
59, 51, 43, 35, 27, 19, 11, 3,
61, 53, 45, 37, 29, 21, 13, 5,
63, 55, 47, 39, 31, 23, 15, 7)
ip_1=(40, 8, 48, 16, 56, 24, 64, 32,
39, 7, 47, 15, 55, 23, 63, 31,
38, 6, 46, 14, 54, 22, 62, 30,
37, 5, 45, 13, 53, 21, 61, 29,
36, 4, 44, 12, 52, 20, 60, 28,
35, 3, 43, 11, 51, 19, 59, 27,
34, 2, 42, 10, 50, 18, 58, 26,
33, 1, 41, 9, 49, 17, 57, 25)
e =(32, 1, 2, 3, 4, 5, 4, 5,
6, 7, 8, 9, 8, 9, 10, 11,
12,13, 12, 13, 14, 15, 16, 17,
16,17, 18, 19, 20, 21, 20, 21,
22, 23, 24, 25,24, 25, 26, 27,
28, 29,28, 29, 30, 31, 32, 1)
p=(16, 7, 20, 21, 29, 12, 28, 17,
1, 15, 23, 26, 5, 18, 31, 10,
2, 8, 24, 14, 32, 27, 3, 9,
19, 13, 30, 6, 22, 11, 4, 25)
s=[ [[14, 4, 13, 1, 2, 15, 11, 8, 3, 10, 6, 12, 5, 9, 0, 7],
[0, 15, 7, 4, 14, 2, 13, 1, 10, 6, 12, 11, 9, 5, 3, 8],
[4, 1, 14, 8, 13, 6, 2, 11, 15, 12, 9, 7, 3, 10, 5, 0],
[15, 12, 8, 2, 4, 9, 1, 7, 5, 11, 3, 14, 10, 0, 6, 13]],
[[15, 1, 8, 14, 6, 11, 3, 4, 9, 7, 2, 13, 12, 0, 5, 10],
[3, 13, 4, 7, 15, 2, 8, 14, 12, 0, 1, 10, 6, 9, 11, 5],
[0, 14, 7, 11, 10, 4, 13, 1, 5, 8, 12, 6, 9, 3, 2, 15],
[13, 8, 10, 1, 3, 15, 4, 2, 11, 6, 7, 12, 0, 5, 14, 9]],
[[10, 0, 9, 14, 6, 3, 15, 5, 1, 13, 12, 7, 11, 4, 2, 8],
[13, 7, 0, 9, 3, 4, 6, 10, 2, 8, 5, 14, 12, 11, 15, 1],
[13, 6, 4, 9, 8, 15, 3, 0, 11, 1, 2, 12, 5, 10, 14, 7],
[1, 10, 13, 0, 6, 9, 8, 7, 4, 15, 14, 3, 11, 5, 2, 12]],
[[7, 13, 14, 3, 0, 6, 9, 10, 1, 2, 8, 5, 11, 12, 4, 15],
[13, 8, 11, 5, 6, 15, 0, 3, 4, 7, 2, 12, 1, 10, 14,9],
[10, 6, 9, 0, 12, 11, 7, 13, 15, 1, 3, 14, 5, 2, 8, 4],
[3, 15, 0, 6, 10, 1, 13, 8, 9, 4, 5, 11, 12, 7, 2, 14]],
[[2, 12, 4, 1, 7, 10, 11, 6, 8, 5, 3, 15, 13, 0, 14, 9],
[14, 11, 2, 12, 4, 7, 13, 1, 5, 0, 15, 10, 3, 9, 8, 6],
[4, 2, 1, 11, 10, 13, 7, 8, 15, 9, 12, 5, 6, 3, 0, 14],
[11, 8, 12, 7, 1, 14, 2, 13, 6, 15, 0, 9, 10, 4, 5, 3]],
[[12, 1, 10, 15, 9, 2, 6, 8, 0, 13, 3, 4, 14, 7, 5, 11],
[10, 15, 4, 2, 7, 12, 9, 5, 6, 1, 13, 14, 0, 11, 3, 8],
[9, 14, 15, 5, 2, 8, 12, 3, 7, 0, 4, 10, 1, 13, 11, 6],
[4, 3, 2, 12, 9, 5, 15, 10, 11, 14, 1, 7, 6, 0, 8, 13]],
[[4, 11, 2, 14, 15, 0, 8, 13, 3, 12, 9, 7, 5, 10, 6, 1],
[13, 0, 11, 7, 4, 9, 1, 10, 14, 3, 5, 12, 2, 15, 8, 6],
[1, 4, 11, 13, 12, 3, 7, 14, 10, 15, 6, 8, 0, 5, 9, 2],
[6, 11, 13, 8, 1, 4, 10, 7, 9, 5, 0, 15, 14, 2, 3, 12]],
[[13, 2, 8, 4, 6, 15, 11, 1, 10, 9, 3, 14, 5, 0, 12, 7],
[1, 15, 13, 8, 10, 3, 7, 4, 12, 5, 6, 11, 0, 14, 9, 2],
[7, 11, 4, 1, 9, 12, 14, 2, 0, 6, 10, 13, 15, 3, 5, 8],
[2, 1, 14, 7, 4, 10, 8, 13, 15, 12, 9, 0, 3, 5, 6, 11]]]
pc1=(57, 49, 41, 33, 25, 17, 9,
1, 58, 50, 42, 34, 26, 18,
10, 2, 59, 51, 43, 35, 27,
19, 11, 3, 60, 52, 44, 36,
63, 55, 47, 39, 31, 23, 15,
7, 62, 54, 46, 38, 30, 22,
14, 6, 61, 53, 45, 37, 29,
21, 13, 5, 28, 20, 12, 4);
pc2= (14, 17, 11, 24, 1, 5, 3, 28,
15, 6, 21, 10, 23, 19, 12, 4,
26, 8, 16, 7, 27, 20, 13, 2,
41, 52, 31, 37, 47, 55, 30, 40,
51, 45, 33, 48, 44, 49, 39, 56,
34, 53, 46, 42, 50, 36, 29, 32)
d = ( 1, 1, 2, 2, 2, 2, 2, 2, 1, 2, 2, 2, 2, 2, 2, 1)
__all__=['desencode']
class DES():
def __init__(self):
pass
def code(self,from_code,key,code_len,key_len):
output=""
trun_len=0
code_string=self._functionCharToA(from_code,code_len)
code_key=self._functionCharToA(key,key_len)
if code_len%16!=0:
real_len=(code_len/16)*16+16
else:
real_len=code_len
if key_len%16!=0:
key_len=(key_len/16)*16+16
key_len*=4
trun_len=4*real_len
for i in range(0,trun_len,64):
run_code=code_string[i:i+64]
l=i%key_len
run_key=code_key[l:l+64]
run_code= self._codefirstchange(run_code)
run_key= self._keyfirstchange(run_key)
for j in range(16):
code_r=run_code[32:64]
code_l=run_code[0:32]
run_code=code_r
code_r= self._functionE(code_r)
key_l=run_key[0:28]
key_r=run_key[28:56]
key_l=key_l[d[j]:28]+key_l[0:d[j]]
key_r=key_r[d[j]:28]+key_r[0:d[j]]
run_key=key_l+key_r
key_y= self._functionKeySecondChange(run_key)
code_r= self._codeyihuo(code_r,key_y)
code_r= self._functionS(code_r)
code_r= self._functionP(code_r)
code_r= self._codeyihuo(code_l,code_r)
run_code+=code_r
code_r=run_code[32:64]
code_l=run_code[0:32]
run_code=code_r+code_l
output+=self._functionCodeChange(run_code)
return output
def _codeyihuo(self,code,key):
code_len=len(key)
return_list=''
for i in range(code_len):
if code[i]==key[i]:
return_list+='0'
else:
return_list+='1'
return return_list
def _codefirstchange(self,code):
changed_code=''
for i in range(64):
changed_code+=code[ip[i]-1]
return changed_code
def _keyfirstchange (self,key):
changed_key=''
for i in range(56):
changed_key+=key[pc1[i]-1]
return changed_key
def _functionCodeChange(self, code):
lens=len(code)/4
return_list=''
for i in range(lens):
list=''
for j in range(4):
list+=code[ip_1[i*4+j]-1]
return_list+="%x" %int(list,2)
return return_list
def _functionE(self,code):
return_list=''
for i in range(48):
return_list+=code[e[i]-1]
return return_list
def _functionP(self,code):
return_list=''
for i in range(32):
return_list+=code[p[i]-1]
return return_list
def _functionS(self, key):
return_list=''
for i in range(8):
row=int( str(key[i*6])+str(key[i*6+5]),2)
raw=int(str( key[i*6+1])+str(key[i*6+2])+str(key[i*6+3])+str(key[i*6+4]),2)
return_list+=self._functionTos(s[i][row][raw],4)
return return_list
def _functionKeySecondChange(self,key):
return_list=''
for i in range(48):
return_list+=key[pc2[i]-1]
return return_list
def _functionCharToA(self,code,lens):
return_code=''
lens=lens%16
for key in code:
code_ord=int(key,16)
return_code+=self._functionTos(code_ord,4)
if lens!=0:
return_code+='0'*(16-lens)*4
return return_code
def _functionTos(self,o,lens):
return_code=''
for i in range(lens):
return_code=str(o>>i &1)+return_code
return return_code
def tohex(string):
return_string=''
for i in string:
return_string+="%02x"%ord(i)
return return_string
def tounicode(string):
return_string=''
string_len=len(string)
for i in range(0,string_len,2):
return_string+=chr(int(string[i:i+2],16))
return return_string
def desencode(from_code,key):
from_code=tohex(from_code)
key=tohex(key)
des=DES()
key_len=len(key)
string_len=len(from_code)
if string_len<1 or key_len<1:
print 'error input'
return False
key_code= des.code(from_code,key,string_len,key_len)
return key_code
if __name__ == '__main__':
if(desencode(sys.argv[1],'mtqVwD4JNRjw3bkT9sQ0RYcZaKShU4sf')=='e3fab29a43a70ca72162a132df6ab532535278834e11e6706c61a1a7cefc402c8ecaf601d00eee72'):
print 'correct.'
else:
print 'try again.'
观察了一下发现是DES加密,不过这里出题人用的是网上找来的脚本,是可以查到对应解密脚本的。。。
https://github.com/liupengs/DES_Python/blob/master/des.py
Python2下运行,输入密文和秘钥即可得到flag。
flag:
flag{eCy0AALMDH9rLoBnWnTigXpYPkgU0sU4}
[羊城杯 2020]image_rar
下载得到一个mp4文件,binwalk看一下,发现里面有很多图片文件。
把mp4后缀改成zip,打开得到提示
看来后面需要掩码爆破
把cache_pic解压出来,得到一堆图片,不过其中有一张无法正常显示。
用010打开后发现文件头格式很像是一个rar文件。
修复文件头(
52 61 72 21
),改后缀后发现需要密码,而且是
rar5加密
,无法用
ARCHPR
进行爆破。
我这里使用
Accent RAR Password Recovery
,结合前面得到的提示进行掩码爆破
压缩包密码(6位):GWxxxx
后面可能会用到的哦
第一遍爆破出来忘记截图了。。。。后面复现的时候缩小了范围,所以快了点
拿到密码
GW5!3#
,然后改后缀得到flag
[INSHack2018]Spreadshit
一个excel表格,看过去一片空白,仔细观察发现有的单元格里的内容是
空格
,所以看不出来区别。
搜索了一下发现有三百多处
把这些空格全替换成填充颜色,会明显一点