2021年江西省网络安全大赛初赛MISC:extractall(循环解压+斐波那契脑洞)
- 解题思路
- 总结
解题思路
在附件里面的文件长这样:
首先点开hint.txt
发现,直接告诉了解压包密码是前一个解压包的名字。
(这句话用南昌话说更带味)
解压之后,发现还是有压缩包,于是这可能就是杂项固定的套路之一——循环解压
但是在解压之前,要思考,题目的名字是什么意思?
百度一下,发现,extractall是python解压库里面的一个函数名:extractall是一个函数,能够解压文件,传入路径,文件名和密码就能使用
但是遇到的错误是,密码必须经过编码,也就是后面需要加上一个encode()
因为python3不自动支持ascii码了,extractall要求输入的是字节类型
所以使用脚本:
import zipfilename = '[REFTQ.zip'
for i in range(100):f = zipfile.ZipFile(name , 'r')f.extractall(pwd=name[:-4].encode())name = f.filelist[0].filenameprint(name[:-4],end="")f.close()
可以明显,看出,在解压名后面有个==,很可能是base64编码
尝试进行解码:
可以解码一部分,那肯定有一些是多余的,我们要去掉
暂且先放在这
解压后可以得到flag.txt文件,以及一张图片
打开flag.txt,可知答案不在这里
打开图片extractall.png
下面一半很显然被截取
使用winhex对图片的高进行加长:
在winhex中,从第16位开始,每4位就是图片的宽和高的值
直接把1改成2,如图
得到内容:
它是哪个?识图一下:
斐波那契。
斐波那契数列是1、1、2、3、5、8、13、21,刚刚好到21
联想到之前的base64解码,我们的第一,第二,和第21的码都可以解出来,唯独中间的码不能解,猜想,可能需要按照斐波那契数列提取编码
按照斐波那契提取出来后,进行解码,得到了flag
总结
问题 | 方法 |
---|---|
脚本写不出来 | 尝试回归题目寻找信息,上面使用extractall可能就是需要搜索这个信息的 |
base64解码遇到乱码 | 如果是部分解码成功,那肯定在编码中需要增加或者删去什么,部分解码成功的编码要多加思考,找到规律 |
png隐写 | 最一般的是隐写长宽,然后还有像素、二维码、lsb、两图片合成、binwalk等等 |
这题脑洞比较大吧
2021年江西省网络安全大赛初赛MISC:extractall(循环解压+斐波那契脑洞)相关推荐
- 2021美赛C题数据(完整有解压密码)
C题数据 数据链接:https://pan.baidu.com/s/1ahACnhdNWRbfRQSVqPM-eQ 提取码:eatx 解压的密码是:Af6SP7rdm33PxPJmDb4wZq7cw ...
- 2021宁波市第四届网络安全大赛(练习平台)RSA部分
挺久没有做过CTF了,明天就要打比赛了,临时抱佛脚,撸两道rsa,找找手感. 公钥文件泄露 题目给了两个文件:pub.key和flag.enc: pub.key -----BEGIN PUBLIC ...
- 第七届湖湘杯网络安全大赛 - 初赛writeup
Web easywill 解题思路 变量覆盖 http://eci-2zej1goyn9jh8hty6ton.cloudeci1.ichunqiu.com/?name=cfile&value= ...
- 2022中国可信链大赛初赛赛题全解
所有的题目我都放在了代码仓库,由于太长就不放入wp了,感兴趣的可自行移步. 题目预览 TrusterLenderPool 分析 攻击 SVip 分析 攻击 Merkle 分析 攻击 OwnerBuy ...
- 数据库2021“安恒·泰山杯”山东省网络安全大赛测试赛部分题目write up
数据库2021"安恒·泰山杯"山东省网络安全大赛测试赛部分题目write up 2021"安恒·泰山杯"山东省网络安全大赛测试赛部分题目wp web1 admi ...
- python Zipfile extractall解压文件会丢失链接信息
python zipfile 用extractall强制解压全部文件 zip = zipfile.ZipFile("zippath", allowZip64=True) ret = ...
- [2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup
决赛不能联网-手上有只有vol2.6,这道题完全死了 文章目录 [2021首届"陇剑杯"网络安全大赛 决赛]内存取证 writeup 产品密钥 匿名邮箱 远控后门 数据清除时间 [ ...
- [2021首届“陇剑杯”网络安全大赛] webshell
[2021首届"陇剑杯"网络安全大赛] webshell 题目描述 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 1.黑客登录系统使用的密码是___Admin ...
- 2021第一届网刃杯网络安全大赛-老练的黑客
2021第一届网刃杯网络安全大赛-老练的黑客 难度系数:4.0 题目描述:一黑客成功入侵某核电站且获得了操作员站控制权,该操作员站可控制离心机的转速,当离心机的转速持续高于5000时将导致设备损坏,为 ...
最新文章
- android sdk安装
- 关于Kafka Spring Boot的教程
- 零基础学JAVA]Java SE基础部分-01. Java发展及JDK配置
- 膝盖中了一箭之康复篇-第五个月
- 云炬Android开发报错处理教程 Gradle下载超时please configure the proxy settings either in IDE or Gradle
- 下列说法正确的是( )
- Python中包(package)的调用方式
- oracle set markup,oracle sql*plus set spool介绍(二)
- 字符编码·ISO8859
- 前端学习(2207):Vue-store文件夹的目录结构
- python3.8.0安装_Python3.8.0
- 知道 | 同学,你都了解关系型数据库,确定不了解一下这种数据库吗?
- 索尼发布工业设备用SWIR图像传感器 采用5微米像素尺寸
- vue 切换页面没有改变滚动条_VUE建立照片轮播功能
- PYTORCH批标准化
- matlab 工具函数、matlab toolbox(工具箱)
- [facebook-wda]iOS App元素定位
- 基于JavaWeb的C2C网上购物平台系统设计
- 【知识点总结】数字电子技术(数电)
- win10 删除无用的bios引导
热门文章
- word单元格斜网格_如何在Word中的所有表上显示和隐藏单元格网格线
- Oracle 数据字典视图(V$,GV$,X$) #
- 【转载】“活在当下”是什么含义呢?
- 博德之门2增强版存档_博德|博德之门2:增强版存档修改方法_234游戏网
- 最全VIM in PyCharm 的.ideavimrc文件的键盘设置
- Bert Model 训练遇到的问题描述
- 2022年520好用的电容笔推荐,果粉推荐十款电容笔
- 出口商贸易融资工具:出口单据质押贷款
- SQL数据库CTE的用法
- 向狼学习的十条处世哲学