[ACTF新生赛2020]NTFS数据流

打开题目,压缩包中有很多txt文件:

根据题目内容,这道题与NTFS数据流有关。

NTFS交换数据流Alternate DataStreams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流。通俗的理解,就是其它文件可以“寄宿”在某个文件身上。

使用工具NtfsStreamsEditor或AlternateStreamView打开存放tmp文件夹,扫描出现NTFS交换数据流文件,导出后打开,得到flag(或双击查看)。

flag:

sqltest

流量包,用wireshark打开:

题目为sqltest,那么猜测应该是让我们分析sql注入攻击的流量。

首先过滤HTTP:

看出为布尔盲注

我们将所有HTTP请求导入为csv文件:

分析文件,可以发现这里是在盲注db_flag库下的tb_flag表里的flag字段内容:

提取出flag的值:

102 108 97 103 123 52 55 101 100 98 56 51 48 48 101 100 53 102 57 98 50 56 102 99 53 52 98 48 100 48 57 101 99 100 101 102 55 125

sql注入的时,使用的是十进制ascii码,转换回字符,得到flag:

flag{47edb8300ed5f9b28fc54b0d09ecdef7}

[UTCTF2020]docx

附件为docx文档:

这是一篇关于“黑客”的介绍,并没有相关提示信息

文章中也不存在文字的隐写。

因此,我们从整个文件的角度进行分析。

将文档放入010 editor,发现文件头是zip的文件头,说明整个文件应该是一个zip压缩包。

于是,将文件后缀名改为zip,进行解压

在/word/media/文件夹中,我们找到了flag:

image-20250219204449954

flag{unz1p_3v3ryth1ng}

john-in-the-middle

流量分析题,用wireshark打开流量包:

过滤http:

发现有许多图片

导出http对象:

image-20250219224553795

发现logo.png中是一个旗帜,推测可能与flag有关

这里参考了WP,使用stegslove打开scanlines.png,在很多通道都发现了一条线:

其次,在logo.png中间有一条空缺

将两张图片使用stegslove进行Image Combiner:

image-20250219225407569

在SUB发现flag

[ACTF新生赛2020]swp

流量分析题,直接wireshark打开流量包:

过滤http,导出对象

发现有一个可疑的压缩包secret.zip

进行导出:

压缩包有密码,用010 editor打开,发现是伪加密:

进行修复后,直接解压:

得到的flag直接放入随波逐流,得到flag