CTFSHOW_web1

misc11：没有头绪，看了网上大佬的一些思路，受益匪浅，和大家分享下。1.解压zip文件，用winhex打开misc11.png2.判断文件格式是否篡改，检查png的文件头和文件尾，文件格式正常PNG文件头(hex)：89504e470d0a1a0aPNG文件尾(hex)：0000000049454E44AE4260823.判断否有文件......

【隐写工具】【试一试？】jphideseek（JPHS）使用方法,检测提示放进JPHS，无密码seek保存为.txt格式文件头有点像png，将后缀改为.png出现二维码，手机扫码跳转到CTFSHOW登录页面【捂脸】看了眼wp，所以说找个QR解析工具看URL，得到：https://ctf.show/?ZmxhZ3vmiJjnpZ7lvZLmnaXlj5HnjrDoh6rlt......

小明的压缩包又忘记密码了？他去电脑维修店去修，人家扔出来说这个根本就没有密码，是个假密码。小明懵了，明明有密码的啊，你能帮帮小明吗？伪加密，放入winhex一个zip文件由三个部分组成：压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志  ......

图片这么好看，但是没啥用呦图片隐写图片隐写的解题思路汇总解压后的word放进010editor ......

文件的主人喜欢用生日做密码，而且还是个90后ARCHPR  ......

根据题意进行unescape解码，得到js脚本，将js脚本中的代码填入输入框中点击提交就得到了flag......

没啥思路，感觉自己在刷题，，，这个考虑的是本地管理员查看源码可以知道密码是base64加密的，使用工具解码就可以了！账号是admin，从评论里知道的...打开burp抓包，修改X-Forwarded-For:127.0.0.1即可......

没啥思路，在这个网站上不能右键弹出属性框，F12查看也没啥可看的，所以就去看了看评论，大概的套路有了，就只有实践了先安装dirsearch：https://github.com/maurosoria/dirsearch进入GitHub下载zip包，我拖到了kali里面安装，因为在wndows中解压输入命令就弹出dirsearch.py的文本文件，做完......

这个很简单！！！看了查看器，里面啥也没有，就看看网络，点开发现了flag......

php://filter/read=convert.base64-encode/resource=index.php......