buuctf misc wp

金三胖

將動圖分離出來,get flag。

N種方法解決

一個exe 文件，果真打不開，在kali裏分析一下：file KEY.exe，ascii text，先txt再說，base64
圖片，get flag。

大白

crc校驗，改高，get flag。

基礎破解

壓縮包提示4位數字，爆破，base64，get flag。

你居然趕我走

圖片，HxD打開，在最後get flag，flag{stego_is_s0_bor1ing}。

LSB

提示LSB隱寫，發現PNG的文件頭，save bin，掃二維碼，get flag。

ningen

圖片,分離出加密壓縮包,提示4位數字，爆破，get flag。

wireshark

提示網頁，發現http,有個login的包，追蹤http流（或者雙擊這個包），搜索關鍵字password，get flag。

假如給我3天光明

結合題目，圖片下方是盲文，對照盲文ascii對照表，獲得一串密碼，音頻隱寫，Morse decode，神器，get flag（大小寫都試試）。

來首歌吧

音頻隱寫，Morse decode，get flag。

FLAG

stegsolve，發現PK提出來,修復一下，文件沒有後綴，改.txt，get flag。

愛因斯坦

圖片分離出加密壓縮包，密碼在圖片屬性裏，get flag。

easycap

說了easy，追蹤第一個包，get flag。

被嗅探的流量

篩選http數據包，發現有post 一個圖片，雙擊，get flag。

梅花香自苦寒來

圖片，（備註提示畫圖）HxD打開發現不少16進制，複製到Notepad++，轉爲ascii，發現是座標，去掉（），，變空格，放在kali，：gnuplot，plot "1.txt"，QR掃,get flag。

荷蘭寬帶泄露

文件是.bin，工具RouterPassView，搜索username，get flag。

後門查殺

D盾掃，get flag。

另外一個世界

圖片，HxD打開,最後有一串2進制，2進制轉ascii，get flag。

九連環

jpg圖片，foremost分離出asd 文件圖片拿不出來,binwalk能夠,看來之後倆個要都試試，qwe.zip加密壓縮包,分出來的jpg圖像爲steghide 隱寫：kali命令：steghide extract -sf good-已合併.jpg，get flag。

面具下的flag

圖片，分離出flag.vmdk，kali下對.vmdk解壓：7z x flag.vmdk，brainfuck加密, ook加密，get flag。

數據包中的線索

導出http對象，在線base64轉圖片，get flag。

webshell後門

D盾掃,get flag。

被劫持的神祕禮物

發現login包，追蹤tcp流，根據題目找到帳號密碼，md3哈希get flag。

弱口令

加密的壓縮包，壓縮包註釋裏有不可見字符，複製到sublime，Morse decode,獲得一張png圖片，lsb隱寫：python lsb.py extract 1.png 1.txt 123456(弱口令猜123456），get flag。

Beautiful_Sise

半張二維碼，數出二維碼是2929的尺寸，CR-Code Version是2929(ver.3)，點擊右上角的紫色，Format Info Pattern裏的Error Correction Level和Mask Pattern對着二維碼試試就好，對照着把黑白塊點出來，Etract QR Information。

喵喵喵

png圖片，stegsolve，發現Red plane 0有問題，發現有png圖像，提取出來，把高補全，獲得完整二維碼，聽說題目提示了NTFS，掃描出flag.pyc，pyc是python的字節碼文件，在線反編譯，導出到文件，剩下就是腳本解密了。

祕密文件

對流量包binwalk，提出加密的rar，拖到物理機，直接按數字爆破。

蜘蛛俠呀

列出流量包的全部隱藏文件:tshark -r 1.pcap -T fields -e data > 1.txt
發現1.txt有連續或不連續的重複行，使用liux的uniq命令去重：sort 1.txt | uniq >2.txt
flag

babyflash

用flash反編譯工具JPEXS反編譯flash.swf，出來441幀黑白圖和一個音頻，

吹着貝斯掃二維碼

拼圖（改圖片的寬高），掃出BASE Family Bucket ??? 85->64->85->13->16->32， base32 在線decode得:3A715D3E574E36326F733C5E625D213B2C62652E3D6E3B7640392F3137274038624148
base16在線decode得：:q]>WN62os<^b]!;,be.=n;v@9/17'@8bAH
rot13在線decode得：:d]>JA62bf<^o]!;,or.=a;i@9/17'@8oNU
base85手機在線decode得：PCtvdWU4VFJnQUByYy4mK1lraTA=
base64在線decode得：<+oue8TRgA@rc.&+Yki0
base68 decode得：ThisIsSecret!233
get flag：flag{Qr_Is_MeAn1nGfuL}

[SWPU2019]神奇的二維碼

binwalk分離，word文檔n多個base64 decode，comEON_YOuAreSOSoS0great用密碼接觸加密的壓縮包，音頻摩斯解密就好。
get flag：swpuctf{morseisveryveryeasy}。

[SWPU2019]漂流的馬里奧

nfs工具一掃就出來了。
get flag：swupctf{ddg_is_cute}。

[SWPU2019]偉大的偵探

010編輯器，編碼方式挨個試，EBCDIC發現了壓縮包密碼，跳舞的小人加密，get flag，flag{iloveholmesandwllm}。

[HDCTF2019]你能發現什麼蛛絲馬跡嗎

img 內存取證
分析鏡像：volatility -f memory.img imageinfo
查看進程：volatility -f memory.img --profile=Win2003SP1x86 pslist
查看以前運行過的進程： volatility -f memory.img --profile=Win2003SP1x86 userassist
提取explorer.exe進程：volatility -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=./
掃二維碼：jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=，加上給了key和vi（偏移量），aes decode，模式（ECB)，flag{F0uNd_s0m3th1ng_1n_M3mory}。

[HDCTF2019]信號分析

選爲波形dB(W)，

[SWPU2019]Network

flag3.zip用ziperello爆破，密碼183792，doc文件的數字提示就是幀數，
..... ../... ./... ./... ../，敲擊碼，得wllm
dXBfdXBfdXA=，base64解得up_up_up，能夠解出flag2.zip，HxD靠後的地方看到flag：swpuctf{A2e_Y0u_Ok?}。

[GXYCTF2019]佛系青年

zip僞加密，題目和圖片都提示佛，與佛論禪解密。

蜘蛛俠呀（腳本待）

我愛Linux(腳本待）

USB(腳本待）

sqltest(腳本待）

寂靜之城（社工不作了）

派大星的煩惱（腳本待）

zip(腳本待）

68個壓縮包，winrar打開看都是4字節，crc32校驗爆破，

二維碼（拼圖暫不作）

SWPU2019]Network（腳本）

[GUET-CTF2019]zips

222.zip加密壓縮包，無提示，6位數字爆破，111.zip又是加密壓縮包，僞加密，

從娃娃抓起

題目提示2種不一樣的漢字編碼，第一種是中文電碼，解出人工智能，第二章是五筆編碼，解出也要從娃娃抓起，flag{3b4b5dccd2c008fe7e2664bd1bc19292}

hashcat

文件沒有後綴，拖到kali，顯示word文件，在真機改後綴爲.doc，打開時須要密碼，用Accent OFFICE Password Recovery v5.1 CracKed By Hmily[LCG][LSG]工具爆破，9919，結果word文件顯示亂碼，xls打不開，改後綴爲pptx，第7張白白的，搜素flag,有，替換顏色

[RoarCTF2019]forensic

一、分析鏡像：volatility -f mem.raw imageinfo
二、查看進程：volatility -f mem.raw pslist --profile=Win7SP1x86_23418
觀察到的可疑進程：

• TrueCrypt.exe 磁盤加密工具
• notepad.exe 自帶記事本
• mspaint.exe 自帶畫圖工具
• iexplore.exe IE瀏覽器
• DumpIt.exe 內存鏡像提取工具

提取notepad.exe進程試試：volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3524 -D ./，獲得3524.dmp,foremost分離，zip給加密了
既然用了畫圖工具，那就提取內存的圖片：volatility -f mem.raw --profile=Win7SP1x86_23418 filescan | grep -E 'jpg|png|jpeg|bmp|gif'，發現有張無標題.png，

無標題.png是windows畫圖工具默認的文件名，提取無標題.png:volatility -f mem.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001efb29f8 -n --dump-dir=./

1YxfCQ6goYBD6Q。
flag{wm_D0uB1e_TC-cRypt}

[RoarCTF2019]黃金6年

用HxD打開，在結尾處發現base64,decode,發現是RAR,（ps：轉爲16進制的時候，要把02的空格改成00，不知道哪裏出問題了-.-），save後rar卻加密了，用pr打開mp4,準備逐幀查看，02:14，04:27，08:05，10:02處發現二維碼


iwantplayctf。

roarctf{CTF-from-RuMen-to-RuYuan}