GKCTF2021-Misc

签到

下载后发现是一个流量包，大致浏览后就是攻击者通过tmpshell.php执行系统命令

在http流5中发现cat flag命令

不过响应包的一大串字符我不知道该怎么处理，查了wp才知道这是hex编码

我们将这串编码hex解码->base64解码得到

又卡住了，继续看wp得知，这是每行数据都做了reverse处理，例如看最后一行，等号本该在后边，此时却在最前边，我们写个脚本将数据还原成reverse之前的模样

a='wIDIgACIgACIgAyIK0wIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMiCNoQD'
b='jMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjoQDjACIgACIgACIggDM6EDM6AjMgAzMtMDMtEjM'
c='t0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0iCNMyIjMyIjMyIjMyI'
d='6AjMgAzMtMDMtEjMwIjO0eZ62ep5K0wKrQWYwVGdv5EItAiM1Aydl5mK6M6jlfpqnrQDt0SLt0SL'
e='t0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLK0AIdZavo75mlvlCNMTM6EDM'
f='z0yMw0SMyAjM6Q7lpb7lmrQDrsCZhBXZ09mTg0CIyUDI3VmbqozoPW+lqeuCN0SLt0SLt0SLt0SL'
g='sxWZld1V913e7d2ZhFGbsZmZg0lp9iunbW+Wg0lp9iunbW+Wg0lp9iunbW+WK0wMxoTMwoDMyACM'
h='DN0QDN0QDlWazNXMx0Wbf9lRGRDNDN0ard0Rf9VZl1WbwADIdRampDKilvFIdRampDKilvVKpM2Y'
i='==QIhM0QDN0Q'
print(a[::-1])
print(b[::-1])
print(c[::-1])
print(d[::-1])
print(e[::-1])
print(f[::-1])
print(g[::-1])
print(h[::-1])
print(i[::-1])

再将此数据base64解码

将重复部分删除得到flag：flag{Welc0me_GkC4F_m1siCCCCCC!}

你知道apng吗

APNG：GIF 动画图片，大家见的比较多，APNG 也是一种动画图片文件格式，可以理解为 PNG 版的 GIF 动画图片

分解工具

分解后可以看到一些有二维码的图片

一个一个来，第一个

这个因为是歪曲的，我们需要用ps将其扭回来

在线ps （先用矩形选中二维码区域

扫描得到：flag{a3c7e4e5

第二个的二维码有点隐蔽

利用stegsolve工具可以查看的更清楚

得到：-9b9d

第三部分直接扫：-ad20

第四部分直接扫：-0327-288a235370ea}

拼接：flag{a3c7e4e5-9b9d-ad20-0327-288a235370ea}

银杏岛no奇妙冒险

游戏题，要么好好打游戏拿flag，要么改源码（开挂）

flag：GKCTF{w3lc0me_t0_9kctf_2021_Check_1n}

Excel骚操作

binwalk一把梭后，在文件夹中并没有发现什么有用的信息

查wp得知，是excel中的格式改过了，需将其改回数字型

再将1替换成黑格子

修改适应的宽高比，得到一个码

经查得知这是汉信码

可以手机下载中国编码扫，扫出flag

flag{9ee0cb62-f443-4a72-e9a3-43c0b910757e}

FireFox Forensics

下载后直接利用github工具解出密码