标签：文件 BugKu Writeup winhex Misc flag &# 下载 图片

MISC题的部分writeup（持续更新）

• 1.签到题
• 2.这是一张单纯的图片
• 3.隐写
• 4.telnet
• 5.眼见非实（ISCCCTF）
• 6.啊哒
• 7.又一张图片，还单纯吗
• 8.猜
• 9.宽带信息泄露
• 10.隐写2
• 11.多种方法解决
• 12.闪的好快
• 未完待续

第一次写博客，有不好的地方，麻烦大佬指正，我用了些时间把BugKu里的Misc的解题思路和套路整理了一下，发出来分享

1.签到题

给了一张二维码，扫描关注就得到了flag

2.这是一张单纯的图片

题目给了一张图片，下载下来，然后用Winhex打开，发现末尾处有一段Unicode编码

key{you are right}

然后打开一个在线解码的网站解码就可以得到flag

这里放出解码的网址：https://tool.chinaz.com/tools/unicode.aspx
附件下载地址

3.隐写

把题目给的rar下载下来，解压后得到一张图片，先用了Winhex打开，发现没什么提示，然后又防到kali里面用binwalk检测，没有隐藏文件，最后想到了修改图片的高度

修改图片的高度和宽度，，binwalk分析一下发现什么也没有藏，那就可能是图片被改“短”了（一般改成和宽度一样，把高去用进制转换成十六进制，然后去winhex里面找到相同的十六进制，替换成想要的高的十六进制，改宽的原理相同）

先右键查看一下文件的高和宽

发现宽是500，然后拿去网站转化为16进制
16进制为01f4，到winhex里面去搜索01f4

我们把高01A4改成和宽一样的01F4，然后保存退出，重新打开图片，就可以看到flag了

附件下载地址

4.telnet

下载zip，解压出来一个数据包，用wireshark打开
筛选telnet协议，然后直接右键追踪TCP流，就可以直接看到flag了

附件下载地址

5.眼见非实（ISCCCTF）

下载文件，名字是zip，不管他，直接丢到winhex里面看
发现还真的是zip文件，错怪他了，修改后缀为zip，打开之后发现里面有个docx文件，解压出来打开
打开报错，联想题目，眼见非实，丢到winhex里面去看

发现也是一个zip文件，修改后缀为zip打开，能解压出来一个文件夹，flag在\眼见非实\word\document.xml文件下，问我怎么知道的？一个一个试出来的

附件下载地址

6.啊哒

下载zip文件，能解压出来一个表情包，不多说，直接丢到winhex里面查看
发现末尾有flag.txt字样，猜测是个压缩包，改后缀后打开压缩包，发现有flag被加密了，一开始猜测是伪加密，但测试后，发现不是，那就只能去找密码了，找了半天没找到，最后抱着试一试的态度，点开了图片的详细属性，发现密码就在里面…

不难看出是一个16进制，直接16进制转文本，得出密码
输入密码解压，得到flag

在线解密网站：在线16进制转文本
附件下载地址

7.又一张图片，还单纯吗

下载下来，丢到winhex里面无果之后，在linux里面使用命令binwalk查找隐藏文件，发现很多隐藏文件

可以用binwalk -e 图片路径 或者 formost 图片路径 的方法把里面的东西分离出来
不知道是不是我操作问题，我用binwalk分离不出来，所以就用了fomost

分离出来之后，会在当前目录下生成一个文件夹，在里面能看到flag

附件下载地址

8.猜

下载图片，是个半人脸的照片，丢到winhex和linux里面一顿操作，什么都没有发现o(╥﹏╥)o，然后重新看了看题目，感觉是靠这半张脸去猜明星，直接用百度搜图或者谷歌搜图
发现是刘亦菲，按照题目要求格式提交即可

附件下载地址

9.宽带信息泄露

下载下来发现是个bin文件，丢到winhex里面看了一番，无果后百度了一下bin文件用什么软件可以打开，结果发现

.bin 是个万能的后缀，就是说啊，许多软件的作者如果写数据文件的时候（跟我一样）起名困难，很可能不知道该把自己的软件存出来的文件叫做什么格式，于是啊，既然是二进制存储的，不如就叫 .bin 吧。
所以，当你看到一个 .bin 格式的文件时，一方面可以先在心里默默咒骂一下软件作者，另外一方面，可以视图通过 magic number 猜测这是个什么文件。unix 下的 file 程序就是专门通过文件头部信息跟 magic number 来猜测文件格式的。猜到之后，就可以试试通过具体的格式是否能够找到对应的软件了。

我有什么好说的呢…
联想题目，应该是路由器的配置文件，用routerpassview软件打开，题目要求提交用户名，所以搜索字段为username

把username所对应的val提交即可

routerpassview这个软件，火绒会报毒，如果要保险起见，可以去虚拟机运行ヾ(◍°∇°◍)ﾉﾞ
附件下载地址

10.隐写2

下载图片下来，发现这个图片有点猖狂呀！不管他，改盘他还得盘他
用binwalk可以看到有隐藏文件，可以用 binwalk -e 图片路径 分离出来
可以分理处一个flag.rar，和提示.jpg，说解压密码为3位数，直接用ARCHPR破解
成功爆破出密码，密码为：871
解压出3.jpg，用winhex打开，在末尾发现flag，flag被base64加密了，解密即为正确flag

这里给出解密网站：在线base64加密解密
附件下载地址

11.多种方法解决

下载得到一个exe文件，发现运行不了
所以就用Winhex打开，发现格式就是base64转图片的格式

所以就放到网站里面去转成图片
得到了一个二维码，扫描即可

这里放出转换的网址：base64在线转图片
附件下载地址

12.闪的好快

给了一个gif图，可以用网站把他们分离开来

菜鸡的我只能一个一个扫了，扫完可以得到flag

这题有点麻烦，就把flag给出来SYC{F1aSh_so_f4sT}
这里给出图片分离的网站gif分离
附件下载

未完待续

标签：文件,BugKu,Writeup,winhex,Misc,flag,&#,下载,图片
来源： https://blog.csdn.net/weixin_44830645/article/details/106810064

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。