标签：这个 zip 一下 hgame 29 然后 flag 2022 压缩包

HGAME 2022

--week1

MISC：

好康的流量：

额，地址这个格式有点问题，没法复制地址，将就着看昂，哈哈哈

这个流量包打开，都没有http流，话不多说，追踪tcp流

 然后往下翻一翻昂，根据题目描述应该是一张图片昂，就看到一个png，让我非常的激动啊 

看下面一串，是base64加密，说实话确实没看出来。。。可能题做少了吧，然后解密就行啦

 哦，对了，我之前的做法是，把它复制粘贴到文本文档，然后用010打开，再取出它的16进制，再给它导入，结果事实证明不行，好像是因为一开始复制的时候，文件头就出错了，具体记不清了，反正别这么做就行

然后就得到图片png

嗯~~~图片嘛，一般不是010就是Stegsolve，用后者看一下，有一个条形码

啊，微信扫不了，用这个草料二维码解码器 ，得了一半的flag，哎，真服了，题目这么长的可还行

然后png的话，试一下拖一下长宽什么的，发现不行，考虑LSB隐写，用那个什么zsteg专门搜颜色通道的（zsteg可以检测png和bmp）

群青（其实是幽灵东京）： 

https://potat0-1308188104.cos.ap-shanghai.myqcloud.com/Week1/%E7%BE%A4%E9%9D%92%EF%BC%8C%E4%BD%86%E6%98%AF%E6%98%AF%E5%B9%BD%E7%81%B5%E4%B8%9C%E4%BA%AC.wav

首先，这是个音频隐写的题，一般最常用的工具就是audacity，先拖进去看看，一进去是波形图，好像还什么异常

然后看看频谱图

有东西了，先记下来，然后昂，以后遇到没有思路的可以试着查看属性，它告诉我们试一试silenteye

 打开silenteye，decode一下

这个地方昂，就可以用到刚刚看到的那个Yoasobi，输入到key（啊，对了，要自己手动输入，我也不知道为啥），然后就是任意搭配一下，decode 

okok，这个地方解出来了，给了个网站，去看看，是一个sstv，不知道是啥，可以去查一下sstv用什么解码，这个地方咱们用RX-SSTV（要选Robot36昂）

 

 

 

 

这个压缩包有点麻烦：

打开这个压缩包啊，发现都要密码的，然后注意看旁边的注释

 纯数字的六位密码呗，爆破一下，也没给字典啥的，就暴力破解就行啦

 出来啦出来啦，不过这里温馨提示一下，后面还有密码，建议文本文档记下来，不然到时候就晕了。。。又要从头开始。。。

这之后，咱们就得到了第二层的压缩包、一个password、一个看起来不是很有用的东西

 

这看起来下一步就是字典爆破了呗

 ok，密码出来了，还是记得要存下来。。。

然后接下来昂，考的是明文，就需要用到那个看起来不是很有用的东西了

 

注意看，两层压缩包里面的README后面的那一串是一样的，说明可以用前一层的来爆破后一层的，这就是明文爆破，要找CRC32一样的就可以，我们就可以先把前一层的存下来

然后要使用的话，需要先压缩的，变成压缩包才可以，压缩时，选择‘添加到压缩文件’，不要直接压缩【因为这里文件要选zip，压缩方式要选存储】

上面的 是flag文件，下面的是上一层存下来压缩的README

 开始爆破，稍微等一下就可以停止了

确定一下就保存下来了

 

里面又有一张图片

 

先用010打开看一下，找变色的地方，看到一个PK，这个是压缩包的标志

  手动分离一下

记得保存的时候改一下后缀，这是zip，不是jpg

又有一张图片，又有密码，这下没什么东西可用了，差不多也就一种考法了，伪加密

zip伪加密原理及操作_Ju0se-CSDN博客_zip伪加密

末尾那里的09改为00，然后就可以了 

 

web

Tetris plus：

Hextris

JS小游戏，这个一般就是找源码就行了，找JS代码 

可以直接搜‘flag’，但是这个找不到哈，我是看它那个要达到3000分，就搜的3000，找附近有没有什么特殊的

 这个之前培训讲过差不多的题目，把那一串扔到控制台

 

蛛蛛...嘿嘿♥我的蛛蛛：

猜猜我在哪

这个就直接在源码里面，点按钮就行了，很快的，到100关，查看响应头里面就行了

不过我这个flag不对昂，我也不知道为啥。。。可能是时间太长了

Fujiwara Tofu Shop： 

藤原豆腐店

这题首先要抓个包，虽然也不知道为什么。。。我还以为是图片里面有啥勒，思路完全不对啊

首先要注意到这个网站

想到可以放网站的地方：referer（从这个地方来的）

 看到一句提示，看到这个车，最像浏览器，浏览器是放在User-Agent的

然后它说树莓味的曲奇，这里要细心一点发现set-cookie，这里的意思就是重新设置cookie，后面的 flavor=Strawberry给加到cookie后面

 然后它说要加汽油，找找哪里可以加汽油，看到那个Gasoline: 0，把它变成100

然后看到本地请求，看到想到XFF

 

然后这个地方的意思，就是不能用 XFF，那就换一个X-Real-IP

okok，做到最后一步了

哎，还有一题，我还没搞懂，等我再问问，下次再写

标签：这个,zip,一下,hgame,29,然后,flag,2022,压缩包
来源： https://blog.csdn.net/Double_Black1213/article/details/122749680

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。