misc_learn

一些misc的姿势

盲水印解码
excel01画图

ctfshow-misc入门

图片篇（操作基础）

misc2

给一个txt文件，但真的是txt文件，010查看，发现png头，改完出flag

永远不要相信后缀

misc3

bpg图象格式，下载工具打开

misc4

下载下来有6个txt,可以通过文件头来判断文件的类型

改文件头即可

图片篇（信息附加）

misc5，6，7，9，15

使用010Editor ，搜索得到flag

misc8

foremost分离，得到flag

misc10

使用binwalk -e 第一 10E5 打开就是flag

misc11

出题人意图：对图片特定数据块的考察 我们知道，png图片有四个重要的数据块，IHDR，PLTE，IDAT，IEND 本题考察的就是IDAT的数据块

通过tweakpng软件可以发现，IDAT数据块有两个，然而在图片解释器中只能解释第一个，所以显示出来的都是第一个IDAT所携带的内容 因此，删除第一个IDAT数据块即可

misc12

跟上题一样，IDAT块很多，F7预览，依次删除，即可

misc13

题目说”flag在图片结尾“

010打开，发现疑似flag的东西，脚本跑完hex解码

misc14

binwalk分离

dd if=misc14.jpg of=1.jpeg skip=2103 bs=1

misc16

binwalk分离即可

misc17

二次分离

一开始binwalk，foremost分离无果

上zteg zsteg -e "extradata:0" misc17.png > 1.txt

再分离一次 binwalk -e 1.txt

misc18

右键属性

misc19,20

exiftool

misc21

exiftool+进制转换

misc22

这里是缩略图隐写的方式，叫做thumbnail隐写。

exiftool -ThumbnailImage -b 文件名>生成文件

exiftool -ThumbnailImage -b misc22.jpg > 1.jpg

misc23

exiftool

这里利用时间戳(Unix timestamp)转换工具 - 在线工具 (tool.lu)获取时间戳

将转换后的时间戳转为16进制，拼接得到flag

misc41

第一句提示的F001是突破点，这个位置有大量F001，看起来组成了某种形状

010打开图片，搜索F001，全部高亮！

图片篇（文件结构）