0x01 Spamcarver
原题链接 http://www.shiyanbar.com/ctf/2002
1.用Hex workshop打开图片,图片的开头是 FF D8 ,这是jpeg格式的文件头。相应的,寻找 FF D9(jpeg文件尾)
2.在文件的下半部分找到了FF D9,在后面跟的是pk,这是zip压缩文件格式的开头,说明后面追加了一个zip文件。注:pk是zip压缩文件发明者的名字首字母
3.用 foremost(命令行工具)提取文件,得到zip文件,解压得到flag图片
0x02 NAVSAT
原题链接 http://www.shiyanbar.com/ctf/2001
1.下载文件后是一个zip,先解压发现解压出错。 而题目提示缝缝补补又三年。 得出,可能要补全文件的校验位置
2.用hex workshop 打开文件,文件头错误。应该是pk
3修改文件头,正常解压,得到flag
0x03 In Hex, No One Can Hear You Complain
原题链接 http://www.shiyanbar.com/ctf/2000
1.打开docx文件出错。用hex workshop打开,发现文件头为pk,修改文件格式为zip格式
2.解压得到文件夹
3,在文件夹中得到flag图片
0x04 stegas 300
原题链接 http://www.shiyanbar.com/ctf/1999
1.题目给出的提示是分析音频波形,先下载,发现是一段wav格式的音频。
2.用audacity软件进行音频分析
3.在软件中可以得到音频图像。图像分为两种:先向下再向上和先向上再向下(已经用红线标出)。而8个这样的图像中间就会有间隔。可以从中猜到应该是表示0和1然后8位组成一个ascii码。
假设 下上为 0 上下为 1
01100010 01100001 01101011 01100100 01101111 01110010 因为开头都是0,所以假设应该成立,转换成字母得到bakdor
3.这个题目给的有问题,我找到了最初的题目,最后有一句意思是字母的md5值就是key。 然后把bakdor的MD5值算出来,提交正确
0x05 越光宝盒
原题链接: http://www.shiyanbar.com/ctf/1992
解题链接:http://www.cnblogs.com/Triomphe/p/7581625.html
0x06 Dark Star
, 原题链接:http://www.shiyanbar.com/ctf/1989
解题链接: http://www.cnblogs.com/Triomphe/p/7586108.html
0x07 Chromatophoria
原题链接:http://www.shiyanbar.com/ctf/1988
1.用hex workshop分析,发现有textdata穿件时间,然后用binwalk分析,并没有得到什么关键信息。
2.看题目,他们可能通过颜色的值进行通信,猜测是LSB,用stegsolve分析,在rgb三个颜色的最低位的左上方都有信息。
4.提取,得到key值:st3g0_saurus_wr3cks