Misc杂项笔记

通用思路

• 拿到文件后首先用foremost或者binwalk检测，看看文件里是否有可提取的隐藏信息
• 水题通杀办法：strings file或者cat file | grep flag 直接查找flag

PDF

• 只有图片，考虑文字是否在图片下方（pdf转word，或者全选复制粘贴都可以发现文字）

图片类

• GIF文件放入PS中，拆解每个文件
• 一般用帧查看工具（stegsolve），也不要忘了exif信息
• 图像得到的密钥大小写多尝试几次（1588\iscc\ISCC\1500）
• BMP、PNG图片优先用zsteg检测
• 多个图片文件可以尝试使用stegsolve工具的拼接功能
• 通过010edit更改图片高度来查看是否有隐藏信息

游戏类

• 优先考虑CE内存搜索字符串，其次考虑反编译

流量分析

• foremost + 文件 -o a提取pcap包里的文件
• 先利用wireshark的统计分析工具来分析协议，之后再进一步判断flag可能存在于哪种协议的报文里
• 报文较少，且报文的内容都正常时，端口号、IP地址、时间戳都有可能是隐藏信息（01转十进制再转ascii码）

文件头速查

文件类型	文件头	文件尾
JPEG	FF D8 FF	FF D9
PNG	89 50 4E 47	AE 42 60 82
GIF	47 49 46 38	00 3B
TIFF(tif)	49 49 2A 00
BMP	42 4D
PSD	38 42 50 53
RTF	7B 5C 72 74 66
CAD	41 43 31 30
XML	3C 3F 78 6D 6C
HTML	68 74 6D 6C 3E
EML(email)	44 65 6C 69 76 65 72 79 2D 64 61 74 65 3A
DBX(outlook)	CF AD 12 FE C5 FD 74 6F
PST(outlook)	21 42 44 4E
XLS / DOC	D0 CF 11 E0
MDB	53 74 61 6E 64 61 72 64 20 4A
ZIP	50 4B 03 04	50 4B
RAR	52 61 72 21
PDF	25 50 44 46 2D 31 2E
WAV	57 41 56 45
AVI	41 56 49 20
MPG	00 00 01 BA / 00 00 01 B3
MID	4D 54 68 64

密文特征

编码类

名称	密文	明文	备注
Base64	ZmxhZ3t0M3N0X2Ywcl90aDFzX000dGNofQ==	flag{t3st_f0r_th1s_M4tch}	空格被加密为等号，长度不确定，英文字母和数字大小写均有
Base16	666C61677B6D795F6E616D655F482121487D	flag{my_name_H!!H}	只由数字和大小写组成
base58	xpoetRPM7vtSVDSRGRp4nXv	flag{hello-world}	相比Base64，Base58不使用数字"0"，字母大写"O"，字母大写"I"，和字母小写"l"，以及"+“和”/"符号
HTML编码	%E8%BF%99%E6%98%AF%E6%98%8E%E6%96%87	这是明文	%号+十六进制
Unicode	\u0074\u0065\u0073\u0074	test	每一字符都用一个5位字符编码表示，并用\分割
OOK	Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.……	flag{ok-ctf-1234-admin}	只含有OOK和.
OOK变形	… … … … !!!. ?.. … … … .?.?! .?.. .!.. … !.?.. … !!!. !!! !!?.? !.?!! !!!.. … … .!.?.. …!? !!.?. … …?.? !.?.. … .!.?. … … !!!. !!! !?.?! .?!.? … …! ?!!.? … …?. ?!.?. …	flag{bugku_jiami}	只含有!?和.
Brainfuck	++++++++++[>+++++++>++++++++++>+++>+<<<<-]>++.>+.+++++++…+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.>.	Hello World!	只含有+ > < . ] [ -，8种符号
rot13	Ubj pna lbh gryy na rkgebireg sebz na vagebireg ng AFN? In the elevators, the extrovert looks at the OTHER guy’s shoes.	How can you tell an extrovert from an introvert at NSA? Va gur ryringbef, gur rkgebireg ybbxf ng gur BGURE thl’f fubrf.	数字不改变，英文取逆反。解密密文只需要对密文再进行一次rot13加密即可
JSfuck	(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(![]+[+[]]+([]+[])[([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+	flag{hhaj}	F12控制台直接复制密文进去即可得到输出
核心价值观	公正公正公正诚信文明公正民主公正法治法治友善平等和谐敬业和谐富强和谐富强和谐文明和谐平等公正公正和谐法治公正公正公正文明和谐民主和谐敬业和谐平等和谐敬业和谐敬业和谐和谐和谐公正法治友善法治	flag{90025f7fb1959936}	由核心价值观的12个词语组成的编码方式
当铺编码	羊由大井夫大人王中工	9158753624	当前汉字有多少笔画出头，就是转化成数字几
词频分析	Eg qnlyjtcnzydl z umaujejmjetg qeydsn eu z bsjdtx tw sgqtxegc al kdeqd mgeju tw yrzegjsoj zns nsyrzqsx kejd qeydsnjsoj Ew ltm fgtk jds kzl tw sgqtxegc m kerr csj jds wrzc kdeqd eu qrzuueqzr-qeydsn_eu_gtj_usqmnejl_du	In cryptography a substitution cipher is a ?ethod of encoding by which units of plaintext are replaced with ciphertext If you know the way of encoding u will get the flag which is classical-cipher_is_not_security_hs	出现次数频率最高的字母为e，最少的字母为z
HTML实体编码	&#x66 ; &#x6C ; &#x61 ; &#x67	flag	通常为&#+十六进制组成，密文与分号之间无空格

古典密码

名称	密文	明文	备注
栅栏密码	fg2ivyo}l{2s3_o@aw__rcl@	flag{w22_is_v3ry_cool}	组成栅栏的字母一般不会太多，用一定的规则把原文打乱然后用@连接
凯撒密码	DEFGHIJKLMNOPQRSTUVWXYZABC	ABCDEFGHIJKLMNOPQRSTUVWXYZ	在原来字符上进行一定的偏移
维尼吉亚密码	iqdl_lx_qtw_mhwh	flag_is_not_here	维吉尼亚密码必须有一个密钥，密钥长度需要与明文长度相同，如果少于明文长度，则重复拼接直到相同

哈希散列 / 对称加密

名称	密文	明文	备注
MD5	eddf10a31864059279db6a7ff97dcc8e	flag{t3st_f0r_th1s_M4tch}	一般为32位，也有16位。通常由数字和A-F的字母组成
SHA-1	7c2380341e0f03f81f873ab8d2ea5b88bc690793	flag{hello_world!}	一般为40位，由数字和小写字母组成
DES	U2FsdGVkX18IBEATgMBe8NqjIqp65CxRjjMxXIIUxIjBnAODJQRkSLQ/+lHBsjpv1BwwEawMo1c=	ctf{67a166801342415a6da8f0dbac591974}	密钥6XaMMbM7