安恒萌新赛

前言

早上去X平台逛了一下,发现一个萌新答疑赛,有积分奖励,记得好像积分可以换wp来着,就做了。

没想到misc的题都是一些脑洞….不过也有一道高质量的题啦。

另外今天突然发现可以往Kali里直接拖文件了 ヽ(✿゚▽゚)ノ

00x00 who_won_the_game

首先下载下来是一个PNG的文件,打开后是棋谱

who_won_the_game

我们直接扔到虚拟机里binwalk看一下

q1_binwalk

成功发现RAR文件,于是再用foremost分离一哈(dd命令有点难记hhh)

q1_foremost_rar

再root目录的outpu文件夹里可以找到分离了的rar文件夹,我们打开后结果发现flag.txt里是一句废话,hehe.gif是加密的…….

q1_rar_flag.txt

q1_rar

我就是在这卡住了…在群里问了一下,说是直接爆破…四位纯数字。。。我想说我是从6位数开始爆破的 TnT

arpch_boom

打开之后又是一个棋谱,还是动态的emmmm

q1_hehe

看见 gif 直接就上 stegsolve 一帧一帧刷过去,结果发现了一个有趣的东西:

q1_before_flagpng

把这一张图片保存,再用 stegsolve 往左点一下得到flag二维码

q1_flag

00x01 猪年快乐

话说早就过完年了好吗…….

把网页上的图片下下来,二话不说先丢到虚拟机里 binwalk,和第一题一样的操作可以分离出一张二维码

q2_binwalk

q2_fake_flag

然鹅,事情肯定没有这么简单。。。

直接用 stegsolve 刷了几遍,就可以发现左下角的flag ヽ(✿゚▽゚)ノ

00x02 喵喵喵?

一张猫图 : )

binwalk : 无果

宽高隐写:么得

用编辑器分析:看不出

stegsolve刷一遍:还是么得

但是我们还可以试试一个叫LSB隐写思路:

q3_LSB隐写

用010editor打开后发现文件头损坏,手动恢复一下。保存之后发现是半张二维码,再去修改height值,得到完整二维码

q3_all

stegsolve 转一下,把三个二维码的定位标识换成实心的,用在线扫码工具扫一下,发现是一个网盘地址。

”在线识别二维码“

下载之后是一个flag.rar,里面只有一个假的flag.txt

q3_flag.rar

这里我们要知道 NTFS交换数据流隐写 通过使用 ntfsstreamseditor 来导出文件,最后可以得到一个已编译过的py文件q3_NTF流隐写

然后在线py反编译,获得源码,是一个对 flag 的简单encode脚本,于是我们再自己写一个decode脚本,成功get flag。

PS: 大坑警告:必须使用winrar解压出来的文件夹才可以成功导出.pyc文件

00x03 总结

做一个萌新答疑赛都呛,自己还是懂的太少了。

最后一道题干货满满,感觉学到了很多知识。

今天收获颇丰,明天再战!

0%