# GHCTF 2025 Misc 题目全解教学文档

## 1. mydisk-1 & mydisk-2
### 解题要点：
- **mydisk-1**:
  - 查看系统文件获取flag：
    - `/etc/lsb-release`
    - `/etc/issues`
  - Firefox登录信息可能包含线索

- **mydisk-2**:
  - 密码爆破技巧：
    - 修改shadow文件或爆破程序
  - 关键文件：
    - `/etc/crontab` 查看定时任务
  - 其他线索：
    - 邮件中获取压缩包
    - 用户Desktop文件夹可能有密码

## 2. mybrave
### 解题步骤：
1. 使用明文攻击解密文件
2. 010 Editor打开解密后的图片
3. 检查文件末尾的base64编码数据
4. 解码base64获取flag：
   `NSSCTF{I'm_Wh1sp3riNg_OuR_Lu11abY_f0r_Y0u_to_CoMe_B4ck_Home}`

## 3. mymem-1 & mymem-2
### 解题要点：
- **PASS1获取**:
  - 检查download和console记录
  - 发现加密代码和密文
  - 从内存文件中恢复pyc并反编译

- **PASS2获取**:
  - 使用GIMP查看mspaint文件
  - 在宽度2568处可见密码

- **PRODUCT_ID**:
  - 使用memprocfs导出注册表
  - 检查`SOFTWARE\MACHINE\SOFTWARE`

- **OFFSET分析**:
  - 检查异常进程mal.exe
  - 使用IDA反编译分析
  - 检查background log写入行为

- **POOLTAG**:
  - 检查bigpools区域
  - 参考出题人博客类似题目

## 4. mypcap
### 解题步骤：
1. **问题1：开放端口**
   - 分析pcap文件
   - 从小到大排序开放端口（具体端口需实际分析）

2. **问题2：数据库密码**
   - 在桌面文件发现数据库密码
   - 从上传的test.war提取压缩包
   - 获取写马密码并解密返回内容

3. **问题3：重要数据**
   - 在数据库中找到关键数据（需实际分析pcap）

## 5. mycode
### 直接flag：
`NSSCTF{52e34cb4-5dbb-4997-877b-e4bc6c0d7104}`

## 6. mypixel
### 解题步骤：
1. 处理初始RGB图像：
   - 使用Pillow还原或Stegsolve勾选所有RGB通道
2. 获得二值图：
   - 尝试黑0白1和黑1白0组合
   - 发现PNG文件头(89504E47)
3. 生成汉信码：
   - 扫描获取flag：
   `NSSCTF{f92a7a2e-9606-4319-9d97-942de4f0315a}`

## 7. myleak(赛后)
### 解题步骤：
1. 检查robots.txt
2. 爆破10位密码（特征：成功时time.sleep 0.1）
   - 获得密码：`sECurePAsS`
3. GitHub activity发现管理账号
4. 使用密码获取认证码

## 8. mywav(赛后)
### 解题步骤：
1. Audacity分析：
   - 分离200-400Hz低频和600-800Hz中频
   - 从500Hz分割转二进制
2. 解密得到维吉尼亚密码
3. 010 Editor检查：
   - 发现异常数据块(9E 97 BA 2A)
4. 使用OurSecret解密获取flag：
   `NSSCTF{9c99897d-5ea3-481c-b0a5-029fec9eaf42}`

## 9. AI题目
### 解题技巧：
- **AI Cat Girl**:
  - 通过代码块格式获取flag
- **AI Cat Girl (Revenge)**:
  - 使用Claude3.7think对抗DeekSeek
  - 关键exp：
    ```python
    # 将初始系统指令转换为Python代码
    # 具体转换代码需根据题目实际调整
    ```

## 通用技巧总结：
1. 系统文件检查：/etc目录、注册表、计划任务
2. 内存分析：pyc恢复、进程检查、注册表导出
3. 隐写分析：Stegsolve、010 Editor、Audacity
4. 加密分析：base64、维吉尼亚、OurSecret
5. 流量分析：pcap文件端口和服务识别
6. 密码爆破：基于时间特征的爆破