第三周ctf iscc2015細(xì)節(jié)決定成敗

1、實(shí)驗(yàn)指導(dǎo)書1.1 ISCC-2015-細(xì)節(jié)決定成敗-3501.2 實(shí)驗(yàn)環(huán)境Windows10 ，binwalk ,winhex1.3 相關(guān)知識介紹1.3.1 CTF 的雜項(xiàng)題型圖片隱寫：Flag 隱藏在一個(gè)圖片中，此圖片中可能會(huì)包含另外的文件，例如說壓縮文件，其他文件，圖片本身只是是一個(gè)載體。數(shù)據(jù)包分析：給一個(gè)很大 wireshark 數(shù)據(jù)包，從中尋找可疑的數(shù)據(jù)包，然后在數(shù)據(jù)包中找到對應(yīng)的可疑數(shù)據(jù)例如說服務(wù)器地址和請求內(nèi)容加：直接給一些數(shù)據(jù)，其實(shí)都是加密過的，需要者識別出對應(yīng)點(diǎn)加密算法，有性的1.3.2CTF 圖片隱寫解題技能指南1:使用各種 16 進(jìn)制編輯器：winhex,hexedit,2

2、:了解各種文件結(jié)構(gòu)，文件頭尾之類，例如 png jpgbmpmp33:熟悉各種通訊協(xié)議，可以熟練地使用 wireshark4.熟練使用 binwalk，stegomp3 等等工具1.4 賽題分析1.4.1 準(zhǔn)備工作查看頁面提示并且將題目程序回來因?yàn)檫@是一個(gè)雜項(xiàng)題，所以我們拿到這個(gè)文件后，首先要確定這是一個(gè)什么文件，如果是圖片文件，就先打開觀察一下，因?yàn)橛锌赡軙?huì)有提示，也有可能能看出像素差距，如果是其他文件，就一定先看看能不能，如果不行就要進(jìn)行文件格式修復(fù)1.4.2 分析文件因?yàn)闆]有文件擴(kuò)展名，所以我們通過查看文件頭的方式來辨認(rèn)手動(dòng)添加 GIF 擴(kuò)展名并查看，提示無法顯示根據(jù)文件頭找到的格式不對。我們再來重新尋找有關(guān)文件的信息。找到了PNG_IS_Not_GIF 這個(gè)字符串根據(jù)提示，修改文件頭和擴(kuò)展名為 PNG這里圖片顯示，提示有個(gè)字符串，但是這個(gè)并不是我們找的 flag,因?yàn)閒lag 是被包裹的字符串1.5 深入分析與編寫工具BinwalkBinwalk 是一個(gè)固件的分析工具，旨在協(xié)助研究對固件析，提取及逆向工程用處。簡單易用，完全自動(dòng)化以輕松地?cái)U(kuò)展，并通過自定義簽名，提取規(guī)則和插件模塊，還重要一點(diǎn)的是可我們這里用 binwalk 查看這個(gè)文件的詳細(xì)信息，返現(xiàn)不光有一個(gè)圖片，還有連個(gè)壓縮包編寫