标签:文件 20 winhex misc11 flag CTFshow binwalk png
- misc11:
没有头绪,看了网上大佬的一些思路,受益匪浅,和大家分享下。
1.解压zip文件,用winhex打开misc11.png
2.判断文件格式是否篡改,检查png的文件头和文件尾,文件格式正常 PNG文件头(hex):89 50 4e 47 0d 0a 1a 0a PNG文件尾(hex): 00 00 00 00 49 45 4E 44 AE 42 60 82
3.判断否有文件二进制合并,搜索png文件头8950,发现只有一个,未使用二进制合并文件
4.判断是否修改png图片宽高,使用TweakPNG打开,发现图片宽高正常,但是IDAT大小并未是逐块铺满,人为修改痕迹较大
可以通过winhex搜索IDAT的个数。
IDAT小结:
https://blog.csdn.net/brightendavid/article/details/115309922
- misc12:
同misc11,tweakPNG打开发现8个IDAT块,依次删除,删除第8个时发现flag
- misc13
winhex打开,发现大量c?t?f?字样,使用winhex搜索通配符发现规律,将类似的数据复制下来,写个脚本隔位分割文本并转义,提交flag就行。
- misc14
jpg文件较大,尝试Jphswin和binwalk,使用binwalk -e x.jpg --run-as=root -D=jpeg 直接分割
- misc15
bmp文件,winhex打开搜索ctfshow
- misc16
没特征,扔binwalk,出flag文本
- misc17
winhex看有隐藏,丢binwalk没结果,再丢zsteg ,zsteg misc17.png --all发现结果,通过zsteg -e extradata:0 misc17.png > flag.txt输出,再通过binwalk分离,sudo binwalk -e flag.txt --run-as=root -D=txt ,得出flag。
- misc18
文件属性
- misc19
exif信息查看器
https://exif.tuchong.com/
- misc20:
同上 exif查看信息
标签:文件,
20,
winhex,
misc11,
flag,
CTFshow,
binwalk,
png
From: https://www.cnblogs.com/Egcrying/p/17662726.html