[被劫持的神秘礼物]

拿到一个pcapng文件,wireshark打开,追踪tcp流,在tcp.stream 0 看到了该字符串

1.jpg

name=admina&word=adminb

根据题目提示,账户密码串在一起32位小写md5加密

就是把adminaadminb小写md5加密

flag{1d240aafe21a86afc11f38a45b541a49}

[刷新过的图片]

拿到图片第一时间尝试了几种方法都没有效果,注意到题目名字有刷新

刷新->F5->F5加密,觉得有可能是这个思路,于是我试着使用了一下F5-steganography进行解密

payload:java Extract.java Misc.jpg

成功解密出一个txt文件

1.jpg

看到开头的PK就明白了这是一个zip文件,直接修改后缀

发现是加密的,打开一看,伪加密,解压得flag

flag{96efd0a2037d06f34199e921079778ee}

[snake]

查看图片,发现文件中藏了一个zip压缩包,手工分离,拿到两个文件,一个叫cipher,一个叫key

key中是一串base64,base64解出来是一个社工类的问题,最终答案是Anaconda,解密步骤如下图

1.jpg

cipher文件直接用记事本打开是乱码,应该是要整个文件一起解密了。这个时候我没有思路了,不知道到底是使用了什么加密方式。

思索了很久我开始搜索跟蛇有关的加密,毕竟这道题就叫snake,就找到了有一种蟒蛇加密,serpent加密。于是我找到了在线解密的网站,使用这个进行解密。serpent(蟒蛇)解密

密钥设为anaconda(一开始我是用的Anaconda,解密出来还是乱码)

2.jpg

成功获得flag

flag{who_knew_serpent_cipher_existed}

[梅花香之苦寒来]

本题同BugkuMisc部分题解中的图穷匕见

flag{40fc0a979f759c8892f4dc045e28b820}

[菜刀666]

这道题是一个流量分析题,追踪tcp流量可以发现很多典型的菜刀shell

在tcp.stream 7中可以看到一个格外长的数据,包含两个参数z1和z2

&z1=RDpcd2FtcDY0XHd3d1x1cGxvYWRcNjY2Ni5qcGc%3D

按照流量包中给出的方式运行php解码

’'’php <?php print(base64_decode(urldecode(“RDpcd2FtcDY0XHd3d1x1cGxvYWRcNjY2Ni5qcGc%3D”))); ?> ‘’’ 结果为D:\wamp64\www\upload\6666.jpg

明显是图片的存储路径,那z2应该就是图片本身了z2值开头的FFD8FF证明了这就是一个jpg文件,直接以十六进制的方式存储。得到一张图片,图片末尾还有一个压缩包

1.jpg

KEY:Th1s_1s_p4sswd_!!! 用图片中给出的字符串解压压缩包得到flag

flag{3OpWdJ-JP6FzK-koCMAK-VkfWBq-75Un2z}

[认真你就输了]

下载下来看起来是个表格文件,但是发现无法正常打开,查看编码发现是zip压缩包文件,解压后发现有很多文件。直接上工具,用搜索文件的工具搜索flag关键词,直接找到flag.txt,获得flag

1.jpg

flag{M9eVfi2Pcs#}

[被偷走的文件]

因为题目是被偷走的文件,在查看tcp流时发现通过ftp协议传递了一个flag.rar文件,线索应该就在这里

1.jpg

直接放到foremost里分离,分离出了flag.rar,这是个有密码的rar压缩包,因为没有什么别的线索,直接进行四位数字爆破,密码是5790,解压得flag

flag{6fe99a5d03fb01f833ec3caa80358fa3}

[藏藏藏]

图片文件尾部有一个压缩包,分离,解压得到一个docx文件

打开,发现二维码,QR research扫描得flag

flag{you are the best!}

[佛系青年]

压缩包有密码,查看编码后发现是伪加密,修改加密位然后解压

解压后发现是一个奇怪的txt文件

1.jpg

显然是之前听说过的与佛论禅加密

放到网上的在线解密网站解密得flag

2.jpg

flag{w0_fo_ci_Be1}

[秘密文件]