2017年陝西省網絡空間安全技術大賽——種棵樹吧——Writeup

2017年陝西省網絡空間安全技術大賽——種棵樹吧——Writeup

• 下載下來的zip解壓獲得兩個jpg圖片，在Kali中使用binwalk查看文件類型以下圖：

有兩個發現：

• 1111.jpg 隱藏了一個壓縮文件，可解壓獲得另外一個文件1.gif
• 2222.jpg 中隱藏了一段奇怪的字符 Post-order{YR!eVa-gLAoxd_j{pw}8zkUnGuIHh:r65f2lFsEi*} (剛開始覺得這個就是flag= =)

• 從1111.jpg中分離出1.gif， 直接把jpg後綴改成zip，解壓便可

• 分離出了1.gif， 驚喜地發現1.gif是一片空白的

• 再次用binwalk查看1.gif的文件類型，發現1.gif是沒有文件頭的，以下圖：

• 因而就想到了用16進制修改工具（winhex， 01editor）等等加上gif的文件頭 47 49 46 38, 並保存圖片

常見文件的文件頭 http://www.cnblogs.com/WangAoBo/p/6366211.html

• 保存後的圖片已經能夠正常顯示了，是一個3幀的動圖，每一幀以下（gif查看器，ps，stegsolve都可分離gif的每一幀）

• 能夠看出這個gif描述了一個字符串 In-order{RY!heHVal-goAI{dxj_GpnUw8}kzu*Er:s56fFl2i}

• 結合以前從2222.jpg獲得的字符串 Post-order{YR!eVa-gLAoxd_j{pw}8zkUnGuIHh:r65f2lFsEi*}

  中的In-order和Post-order推斷這與樹的遍歷有關

  即：

  • 中序遍歷序列：RY!heHVal-goAI{dxj_GpnUw8}kzu*Er:s56fFl2i
  • 後序遍歷序列：YR!eVa-gLAoxd_j{pw}8zkUnGuIHh:r65f2lFsEi*

• 由上述分析能夠還原出樹的結構，還原以後就能夠很容易的看出flag了（建議用一張大的紙= =）

flag爲flag{n52V-jpU6d_kx8zw}

 

補充：

1. 分離1111.jpg的方法還有 dd if=1111.jpg of=1111-1.zip skip=125330 bs=1， 此方法來自阿良

2. 找到2222.jpg中字符串的方法還有：

   1. strings 2222.jpg列出可打印字符串，此方法來自璫哥
   2. 直接用記事本打開2222.jpg
   3. 官方WP的直接右鍵查看屬性