小明玩电车游戏怎么玩的

1、binwalk分离，word文档n多次base64，comEON_YOuAreSOSoS0great用密码解出加密的压缩包，摩斯音频音频摩斯解密就好。 1、ntfs工具一扫就出来了。 1、用010编辑器打开，编码方式挨个试 2、 跳舞的小人。 1、flag3.zip用ziperello爆出密码183792 2、doc文件的数字提示就是帧数， ..... https://www.cnblogs.com/wrnan/... https://www.cnblogs.com/wrnan/p/... https://www.cnblogs.com/wrnan/p/... https://www.cnblogs.com/wrnan/，敲击码，得到wllm dXBfdXBfdXA=，base64解得up_up_up，2个组合能解开flag2.zip 3、用HxD打开jpg，搜索关键字swpu。 1、分析镜像：volatility -f memory.img imageinfo 查看进程：volatility -f memory.img --profile=Win2003SP1x86 pslist 查看之前运行过的进程： volatility -f memory.img --profile=Win2003SP1x86 userassist 提取进程：volatility -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=https://www.cnblogs.com/wrnan/p/ foremost分离1992.dmp 扫QR code得到： 加上给了key和vi（偏移量），aes decode，模式（ECB)。 选为波形dB(W)，用au看到的地址码为： 1、zip伪加密 2、title和图片都提示佛，与佛论禅。 1、图片藏了一个加密压缩包 2、压缩包是用弱口令加密的 3、 词频统计。 1、base64隐写 类似题：攻防世界base64stego 1、分析镜像：volatility -f mem.raw imageinfo 2、查看进程：volatility -f mem.raw pslist --profile=Win7SP1x86_23418 观察到的可疑进程： TrueCrypt.exe 磁盘加密工具 notepad.exe 自带记事本 mspaint.exe 自带画图工具 iexplore.exe IE浏览器 DumpIt.exe 内存镜像提取工具 提取进程试试： 得到3524.dmp,foremost分离，zip给加密了 既然用了画图工具，那就提取内存的图片： 发现有张无标题.png 无标题.png是windows画图工具默认的文件名，提取无标题.png: 1YxfCQ6goYBD6Q。 1、用HxD打开，在结尾处发现base64,发现是RAR,（ps：转为hex的时候，要把02的空格改为00，不知道哪里出问题了-.-），save后rar却加密了，用pr打开mp4,准备逐帧查看，02:14，04:27，08:05，10:02处发现QR code iwantplayctf。 1、foremost命令分离出压缩包，加密。 2、用wireshark打开pcap，导出http对象 3、下载mimikatz(win下一定先关了杀软或者信任它） 把放到mimikatz.exe目录下,打开mimikatz.exe执行下列命令。 sekurlsa::minidump lsass.dmp sekurlsa::logonpasswords full 得到密码解压。 1、foremost分离png,得到2张一样的图片，blind watermark 2、加密压缩包注释里提示：FLAG IN ((√2524921X85÷5+2)÷15-1794)+NNULLULL,7位数字+NNULLULL进行mask attack 3、对11.txt用脚本进行词频统计，hint.txt讲取前16位：etaonrhisdluygw 结合decode.txt，得到：QW8obWdlWT9pMkF-sd5REtRQSQWjVfXiE/WSFTajBtcw=,解完是这样的啊，但... 1、foremost得到一个文本 2、 aaencode decode，https://www.qtool.net/decode 1、QR code2个角用win自带的3D画图工具补全 2、base32 decode 1、补全gif文件头GIF89A（47 49 46 38 39 61） 2、base64 decode 1、同样是补全gif头 1、用HxD打开后，发现是png，假的QR code，结果flag在HxD最后 1、foremost分离xls，扒拉了几下文件，在某个文件中有flag.txt 1、foremost分离jpg，doc里放了QR code 1、加密压缩包的文件名也太直接了 unzip后张jpg图片 1、ook deocde 1、HxD打开，搜索keyword：ctf 1、这个png在windows下可以打开，但在linux下打不开，猜测图片宽高被改了 crc32校验用了之前能用的脚本运行不出结果 然后先试改宽，图片变了 改高图片基本不变，就不断改高的值 1、题目名称，哈哈哈，keyboard cipher 1、题目名称很明显，caesar decode 1、Morse decode，不知道最后一个b为什么不用 1、一大串的16进制，先2个一组分开，脚本： 2、再用脚本转ascii，一堆乱码，然后ascii的范围在0~127，这些16进制全都超过了127 都减去128（0x80），转ascii，小脚本： 1、打开文件是Unity3D mine sweeping game，纯玩肯定是不行 用DnSpy去反编译exe,将Mine Sweeping_DataManagedAssembly-CSharp.dll拖入工具，找每次点击鼠标的函数 将游戏over的条件改为false,踩雷的话游戏都会继续，编译->保存 填到最后几个格子的时候，出现QR code 1、全是tcp protocol，流0发现信息 2、流1有PK,save 1、都有DNS、TCP、TLS、ICMP流 在ICMP流有html,过滤ICMP base64 decode 1、拖入au,放大wave forms后，短波为0，长波为0，整理后： 0 0111010010101010011000100 0111010010101010011000100 中间 地址位的20个bit:01110100101010100110 参考链接：https://www.freebuf.com/articles/wireless/191534.html 1、在html中看到： base32 decode，得 fake flag:suctf{hAHaha_Fak3_F1ag} 2、png拉到stegsolve，发现 base64解完是乱码，TripleDES decode(fake flag as key) 1、找了logo编译器，着实玩不来 https://www.calormen.com/jslogo/，害，在线运行一哈 1、jpg，在属性发现备注，foremost分离出加密的zip 2、 词频分析即可。（这题比赛的时候好像每个人拿的文件不一样,emm,运行出来的提交不上 1、jpg属性备注发现加密的社会主义核心价值观 题目的hint：outguess加密隐写 1、题目hint了NTFS流隐写，也打开下zip,500个txt 1、base64隐写 emmm,还没停？几秒后停止试试 1、文件->导出http对象，发现secret.zip，伪加密 swp放到linux是一个隐藏文件(ls -a，swp文件确实存在），linux下非正常退出vi编辑文本后会自动生成.swp文件 使用vim -r 文件名 恢复flag文件 pwd.txt aaencode解密得到： hh.jpg 在属性->主题发现一个密钥 O_O 再看题目：剑龙（Stegosaurus），stegosaurus隐写 补充：hh.jpg是steghide隐写，(key为之前的aaencode解密) 得到： des解密，得到： 1、设置显示隐藏文字+doc属性，base64-decode，解出一堆字母 2、词频分析，用脚本。 题目描述： 1、zip伪加密、word隐写、明文攻击 png图片，用stegsolve工具或zsteg都可 1、盲水印 1、在字母I左上角有黑白相间块，黑为1，白为0 得到： bin转hex,再转ascii。 1、根据mpeg文件头：000001BA,提取出bin文件中的mpeg 2、利用file disk.bin查看文件类型 disk.bin是一个ext2的文件系统 挂载disk.bin文件系统 报错如下： 就是文件系统中的超级块被损坏， 提取文件系统中的8193块的备份超级块（超级块占用1K的空间） if=infile of=outfile bs=bytes：同时设置读入/输出的块大小为bytes个字节 skip= blocks ：从输入文件开头跳过blocks个块后再开始复制 count：只拷贝输入的blocks块。) 将备份超级块放入损坏的超级块： conv=notrunc：不截短输出文件 seek=blocks：从输出文件开头跳过blocks个块后再开始复制。 利用binwalk命令分离disk.bin。 1、 （这个在py3可以) 2、找来网上的脚本运行： http://www.practicalcryptography.com/cryptanalysis/text-characterisation/quadgrams/ http://www.practicalcryptography.com/cryptanalysis/stochastic-searching/cryptanalysis-autokey-cipher/ 解题参考链接：https://ctf-wiki.github.io/ctf-wiki/crypto/classical/polyalphabetic-zh/#_13 题目描述： 1、base64解码，得到： 2、栅栏密码加密（http://www.atoolbox.net/Tool.php?Id=777) 3、凯撒解密。 1、挂载img镜像文件 2、打开mnt是几张jpg和gif的猫图，然而没东西了。 3、这个是ext4文件系统，在linux下，使用extundelete命令恢复被删除的目录或文件： 最后卸载挂载的文件 1、用Audacity打开wav，看频谱图。 题目描述： 1、 看了wp知道是，然后题目也有hint。 用在线工具：https://330k.github.io/misc_tools/unicode_steganography.html 参考wp： https://www.tdpain.net/progpilot/nc2020/zero/ https://razvioverflow.github.io/ctfwriteups/UTCTF2020/ 1、jpeg打不开，用HxD搜索关键字flag。 或者用strings或cat命令都可。 BUUCTF Misc (三)