[CISCN 2022 初赛]ez_usb
这道题已经提示是一道usb流量分析题
HID(Human Interface Device,人机接口设备)是USB设备中常用的设备类型,是直接与人交互的USB设备,例如键盘、鼠标与游戏杆等。在USB设备中,HID设备的成本较低。另外,HID设备并不一定要有人机交互功能,只要符合HID类别规范的设备都是HID设备。
usbhid.data先筛选有hid的流量 一般来讲是键盘、鼠标、游戏杆
有三组2.8.1 ,2.4.1,2.10.1
分别把他们重组
2.4.1的流量包中包数据长度为0 应该是一个混淆包
一般usb流量隐写,要么键盘隐写,或者是鼠标隐写
将其放入usb键盘鼠标流量脚本跑 此处使用的是
2.8.1
将其中的CAP和DEL删除
JPEG文件头FFD8FFE0 00104A46,JPEG文件结尾为FFD9,rar的文件尾C43D7B00 400700,文件头52617221 1A0700即Rar!,ZIP文件头504B0304 0A00即PK,GIF开头`47494638 396即GIF,PNG文件头89504E47 0D0A1A0A 0000000D 49即|PNG,PNG文件结尾49454E44 AE426082即IEND bmp文件头424D即BM
文件头显示是rar文件,导入010editor 重新导出文件 (注意代码块十六进制需要ctrl+shift+v整段复制)
2.10.1
这个猜测是rar文件密码
[CISCN 2018]Picture
拿到题目首先想着binwalk分离文件
分离以后文件发现文件有base64编码可能
这边我先解了一遍
kp开头中间也有pk 考点是文件头混肴,但是这个没法直接换成十六进制
可以使用在线工具Base64 在线编码解码
直接换成十六进制导入010editor然后修改文件头导出zip文件
注释中<- password啊是提示 然后根据前面的报错提示可以得到密码: integer division or modulo by zero
解压文件得到俩文件 一个假flag 另一个文件是编码
直接扔工具里面去跑了
是uuencode编码
[CISCN 2023 初赛]被加密的生产流量
流量包的名字就是modbus 猜测与modbus有关 追踪tcp流 看隐写的内容
有等号是base编码 可以使用pyshark脚本跑切割,或者就是手动一个一个写下来这个
放进解码器跑就行了
[CISCN 2022 初赛]everlasting_night
一道lsb隐写题
首先打开010editor 查看这张png图片的hex 文件头和文件尾是全的 文件尾之后还有一串十六进制
32位 ??? md5 解密
ohhWh04m1 不知道是什么东西 先留着再说
stegsolve 打开图片 发现在alpha 通道2里面发现一点不对
用data extract 打开alpha通道通道2 以列
是有一串字符串的 还是不知道要用来干什么
学lsb隐写 那就跑脚本了 上面的字符串是lsb隐写的密码
先导了一份文本文件,pk文件头 导一份zip出来
zip解压缩有密码,拿第一个密码解压 出了一个flag文件 看格式应该是png 但是文件损坏
看wp 需要用gimp打开 并且需要改一下后缀名为data
gimp flag.data
改一点宽度 就出来了
[CISCN 2021初赛]running_pixel
