2025第一届轩辕杯Misc详解

2025第一届轩辕杯Misc详解 Terminal Hacker 一步到位解法 ： 使用 foremost 工具进行文件分离 在分离出的文件中寻找flag信息 关键发现 ： 通过随波逐流检测发现RGB通道包含flag前半部分 根据hint提示使用PS取色工具提取信息 提取方向：从右到左 后续处理 ： 将获取的数据通过十六进制编辑器(如010 Editor)导入并另存为zip文件 解压密码： GekkoYoru 数据识别与审计 文本部分处理 ： 将文件夹拖入VS Code 全局搜索关键字符：数字0-10、@符号 查找泄露的敏感信息：地址、手机号、身份证号、邮箱等 图片部分处理 ： 检测图片尾部是否包含恶意代码 编写脚本检查图片尾部额外字符串 PDF部分处理 ： 使用微软浏览器打开 观察是否有XSS弹窗出现（威胁文件标志） 音频部分处理 ： 使用OpenAI的Whisper功能进行语音识别 注意：精度可能不高但足以识别关键信息 最后对结果进行排序并MD5加密 音频的秘密 解密过程 ： 使用 silenteye 工具解密出zip文件 使用 aapr 工具进行爆破攻击 成功解压密码： 1234 图片分析 ： 再次使用随波逐流检测 发现RGB通道存在密文 使用之前获取的key进行维吉尼亚解密 隐藏的邀请函 解压分析 ： 解压docx文件 在 Cyyyy.xml 文件中发现未知十六进制数据 解密方法 ： 将十六进制数据与文件名进行XOR运算 得到DataMatrix条码 一大碗冰粉 文件提取 ： 使用 lovelymem 工具提取文件 使用 vol3 工具进行进一步提取 攻击方法 ： 根据hint提示进行压缩文件明文攻击 使用 aapr 工具进行攻击 后续处理 ： 解压得到未知文件 文件名提示使用XOR运算（谐音梗提示） 最终得到jpg图片 社工技巧 ： 图片提示格式： flag{xx省xx市xx县/区xx步行街} 使用百度搜图功能进行社工定位 八卦 信息提取 ： 查看图片EXIF信息 在注释中发现隐藏数据 解密步骤 ： 将数据转换为三位二进制 每8位为一组，不足8位的删除 将二进制转换为ASCII 最后进行Base64解码 工具总结 | 工具名称 | 用途 | |---------|------| | foremost | 文件分离 | | silenteye | 隐写解密 | | aapr | 压缩包爆破 | | lovelymem | 内存提取 | | vol3 | 内存分析 | | Whisper | 语音识别 | 关键技巧 随波逐流检测适用于RGB通道隐写 文件名可能包含解密线索（如XOR提示） 社工技巧在CTF中也很重要 二进制数据处理要注意对齐和转换方式 多层加密需要逐步解密 注意事项 文件尾部检查是常见考点 压缩包密码可能简单（如1234） 隐写工具的选择很重要 音频识别可能需要多次尝试 文档格式（docx）实际上是zip压缩包