[BJDCTF2020]你猜我是个啥后缀改名.png得到二维码扔给CQR但是说本来打算再把二维码图片拖进010看看又不有啥其他成分的结果就出现了flag防不胜防flag{i_am_flg}秘密文件1下载了wireshark后打开就是这个界面因为这道题模仿的是黑客入侵内网窃取文件ftp协议FTP (File Transfer Protocol)专门用于文件传输。它的设计初衷就是为了上传和下载文件。题目描述中明确提到“偷走了公司的机密文件”在网络流量中大文件或压缩包如.rar,.zip通过 FTP 传输是非常典型的场景。所以搜索ftp过滤追踪tcp流可以看到这个话HI, i know you are a hacker who is trying to hack me ,but can u find where is the flag?aUSER ctf但是这里也看到rar的显示随便右键一个ftp文件点这个慢慢找rar文件的内容然后找到这一个文件看到是压缩包的数据在如图的显示为选择原始数据然后另存为.rar文件。打开要密码使用ARCHR爆破了注意如果ARCHR不会设置此图可参考密码是1903解出flag是flag{d72e5a671aa50fa5f400e5d10eedeaa5}[BJDCTF2020]鸡你太美emm最开始看到gif文件我第一想到的是用stegsolve一帧帧分离看有不有隐藏数据或者flag但是不对注意点放在了这个打不开的篮球副本两个都拖进010看发现副本没有gif头即使不知道gif头也可以听过旁边的篮球gif文件看到是47 49 46 38点击文件新建16进制文件把这串输进去然后把该副本的数据粘贴上去另存为gif文件就出现flag了。别问问就是只知道这一个数据插入方法好像某个按键也可以但我还没来的及学求告知flag{zhi_yin_you_are_beautiful}[BJDCTF2020]just_a_rar提示为这个首先尝试ARCHPR爆破解出来没想到还有一层不是just_a_rar吗因为拖进010看到了这个所以查看图片属性了flag{Wadf_123}好吧我还是信你是just_a_rar了刷新过的图片此题有一个文件还要一个图片我刚开始点这个文件发现这个jpg也没有文件头还以为跟上个题一样结果错的。因为题目说的是刷新过的图片再看其他大佬说的键盘F5就是F5隐写使用F5-steganography工具导出隐写内容。Kali下载安装语句git clone https://github.com/matthewgao/F5-steganography注将Misc.jpg文件放到F5-steganography目录下也可以使用绝对路径使用命令导出Misc.jpg图片的隐写内容到output.txt文件在F5-steganography目录下然后输出这个java Extract Misc.jpg如果java版本高出现问题问ai然后虚拟机就下不了于是豆包告诉我java --add-exports java.base/sun.security.providerALL-UNNAMED Extract Misc.jpg然后在F5文件夹下看到了output.txt点开看发现是压缩包改后缀名或先拖到物理机再改后缀名不然可能会报错有伪加密得到flag是flag{96efd0a2037d06f34199e921079778ee}snake这道题又可以长经验了。首先拖进010翻到最后可以看到压缩包复制这一段新建一个十六进制文件粘贴进去另存为后缀为.zip里面有这两个其中cipher用记事本打开是一段乱码key打开是V2hhdCBpcyBOaWNraSBNaW5haidzIGZhdm9yaXRlIHNvbmcgdGhhdCByZWZlcnMgdG8gc25ha2VzPwo这是base64编码解码得到What is Nicki Minajs favorite song that refers to snakes?对应这个叫nicki minaj 的歌手对于蛇所最喜欢的歌是什么标记一处地点搜索得到是Anaconda再结合这个文件名是key所以这应该是解密的钥匙。还剩一个文件根据题目名我们可以知道这里运用了Senpent加密长知识了需要用到这个网站把文件拖进去有些网站是文本解密需要你把文件的乱码转到正常模样才能解出所以就用这个Serpent Encryption – Easily encrypt or decrypt strings or files (online-domain-tools.com)最后得到flag{who_knew_serpent_cipher_existed}菜刀666流量分析对于菜刀题首先搜http.request.methodPOST随便在一个http文件上右键追踪流一个个筛查最终在7这里看到z1和z2根据前面base64的提示z1的解码得到D:\wamp64\www\upload\6666.jpg此文本那不难想出z2是6666.jpg的内容z1后面跟着的%3d是url编码是所以不算在z1的密文里去在显示为那里选择原始数据然后点另存为.txt文件把z2的数据复制在010中新建16进制文件。按住ctrlshiftv另存为.jpg文件得到把这个当作flag输进去但不对回到流量包在9这里看到pk文字说明还有压缩包如果不想看其实可以直接去kali用foremost命令或者binwalk提取出压缩包注意不能直接复制为压缩包需要去kali使用foremost提取flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}[BJDCTF2020]一叶障目刚开始看到这个我以为是用盲水印结果不是后面拿宽高一把梭也可以找其他的修复宽高工具梭出来了xaflag{66666}[BJDCTF2020]纳尼记事本说咦这个文件怎么打不开呀是真的打不开把它拖进010看没有头部文件那就给他一个头部文件。新建十六进制文件在里面输入47 49 46 38然后把该图片的010数据复制进去另存为.gif文件不方便看的话就找一个可以提取gif帧图的工具。、拼接得到Q1RGe3dhbmdfYmFvX3FpYW5nX2lzX3NhZH0猜测是base64使用随波逐流一把梭果然flag{wang_bao_qiang_is_sad}[SWPU2019]神奇的二维码使用CQR扫码不在这在010里面搜flag发现有jpg文件去kalibinwalk -e BitcoinPay.png中间的看看flag在不在这里是加密了的flag我用ai分析他告诉我于是Base64 编码/解码 - 锤子在线工具大概很多次比14次多。得到comEON_YOuAreSOSoS0great不慌还有encode文件解码得到这个解压缩包原来兜兜转转还是你说明binwalk提取还挺厉害的都解密了没关系我们还有个文件那个长文base64解出来的comEON_YOuAreSOSoS0great终于派上了用场解密这个压缩包得到good.mp3用audacity打开频谱图啥也没有但是通过观察这个有点像摩斯密码短的做.长的作-记录-- --- .-. ... . .. ... ...- . .-. -.-- ...- . .-. -.-- . .- ... -.--摩斯密码解密得到MORSEISVERYVERYEASY但是这个直接交又是错的要转为小写才对emmm..好吧我信你是最后的关卡