- misc11:
没有头绪,看了网上大佬的一些思路,受益匪浅,和大家分享下。
1.解压zip文件,用winhex打开misc11.png
2.判断文件格式是否篡改,检查png的文件头和文件尾,文件格式正常 PNG文件头(hex):89 50 4e 47 0d 0a 1a 0a PNG文件尾(hex): 00 00 00 00 49 45 4E 44 AE 42 60 82
3.判断否有文件二进制合并,搜索png文件头8950,发现只有一个,未使用二进制合并文件
4.判断是否修改png图片宽高,使用TweakPNG打开,发现图片宽高正常,但是IDAT大小并未是逐块铺满,人为修改痕迹较大
可以通过winhex搜索IDAT的个数。
IDAT小结:
https://blog.csdn.net/brightendavid/article/details/115309922 - misc12:
同misc11,tweakPNG打开发现8个IDAT块,依次删除,删除第8个时发现flag - misc13
winhex打开,发现大量c?t?f?字样,使用winhex搜索通配符发现规律,将类似的数据复制下来,写个脚本隔位分割文本并转义,提交flag就行。 - misc14
jpg文件较大,尝试Jphswin和binwalk,使用binwalk -e x.jpg --run-as=root -D=jpeg 直接分割 - misc15
bmp文件,winhex打开搜索ctfshow - misc16
没特征,扔binwalk,出flag文本 - misc17
winhex看有隐藏,丢binwalk没结果,再丢zsteg ,zsteg misc17.png --all
发现结果,通过zsteg -e extradata:0 misc17.png > flag.txt
输出,再通过binwalk分离,sudo binwalk -e flag.txt --run-as=root -D=txt
,得出flag。 - misc18
文件属性 - misc19
exif信息查看器
https://exif.tuchong.com/ - misc20:
同上 exif查看信息