27-day

 · 2019-8-29 · 次阅读


66.眼见非实
  这道题首先会下载一个zip无后缀文件,下载后,既然它叫zip就改后缀为zip,解压后是一个word文件叫眼见非实。这个word打开后发现了一些xml后缀还有很多PK标识,因而猜测这应该还是一个压缩文件。
这是因为zip压缩软件的发明者叫Phil Katz。因而有PK在开头应当是一个ZIP文件。果然压缩出来后有很多xml文件。这里就要猜测在哪个里面了。这里我们首先看到了word文档,点进去后就发现了一个document.xml.这个文档是很重要的应当在这里面。点进去后用记事本打开这个xml就拿下了flag.
  这里解释一下为什么直接访问这个文件,Document 对象是一棵文档树的根,可为我们提供对文档数据的最初(或最顶层)的访问入口。也就是说这个document文件就像网页中的index一样重要,这里主要要了解xml文件的具体构造。
67.啊哒
  解压包下载后是一个啊哒的一个Jpg的表情包,还是先用winhex打开看哈。在最后的地方发现了一个flag.txt文件,说明这个文件应该有隐藏的文件。这里使用foremost进行分离,分离开后有一个压缩文件里面就是flag.txt(猜测)因为这个压缩文件压缩需要密码,那么密码在哪呢?
一般来说jpg的属性中会有一些隐藏提示,果然打开它的属性发现了:照相机型号:73646E6973635F32303138这是一些十六进制的数字,将它转文本后得到:sdnisc_2018这个应该就是密码了,成功解压得到flag.txt.拿下flag.
  summary:总的来说杂项的题大部分需要对工具的详细利用,就像这道题又教会了我使用一个叫foremost的工具。这里介绍一下这个工具—Foremost可以处理图像文件,例如由dd,Safeback,Encase等生成的图像文件,或直接在驱动器上。页眉和页脚可以由配置文件指定,也可以使用命令行开关指定内置文件类型。这些内置类型查看给定文件格式的数据结构,从而实现更可靠,更快速的恢复。在数字取证中和CTF中常用来恢复、分离文件。它默认支持19种类型文件(jpg, gif, png, bmp, avi, exe, mpg, mp4, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, html, cpp 等文件)的扫描识别恢复,还可以通过(通过配置它的配置文件foremost.conf)增加新的支持类型。
  按我理解就是一个处理图像文件的一个小工具,可以实现恢复分离等等操作,还支持19种类型的文件。
  杂项:
隐写术(steganography):将信息隐藏在其他载体中,不让计划的接收者之外的人获取到信息

常见载体:

图片:细微颜色差别,GIF图多帧隐藏,exif信息隐藏,图片修复等 —-解题工具 Stegsolve

音频:信息隐藏在声音里(逆序),信息隐藏在数据里(分析音频数据) —-解题工具 Audition,Matlab

视频:信息隐藏在视频的某个或多个帧里 —解题工具 Premiere

文件隐写:把多个文件拼接成一个 —解题工具 binwalk