TGCTF-misc方向全解教学文档

TGCTF-misc方向全解教学文档 1. next is the end 解题步骤： 下载提供的压缩包 解压第一层文件夹 检查嵌套的文件结构 直接读取内容寻找flag 关键点： 注意压缩包的嵌套结构 可能需要递归解压或直接查看二进制内容 2. where it is(osint) 解题步骤： 使用图片搜索引擎（如Google Images、TinEye等）搜索题目提供的图片 通过图片定位相关信息 根据定位信息找到flag 关键点： 掌握OSINT（开源情报）技能 熟悉常用图片搜索引擎的使用 3. 你的运气是好是坏? 解题步骤： 题目提示"CTFer最喜欢的数字" 尝试输入114514 获取flag 关键点： CTF社区文化知识（114514是CTF中常见的梗） 4. 简单签到,关注:"杭师大网安"谢谢喵 解题步骤： 关注"杭师大网安"公众号 在公众号内获取flag 关键点： 需要实际关注指定公众号 5. 这是啥o_ o 解题步骤： 用010 Editor打开文件 发现是GIF文件头但后缀不正确 修改文件后缀为.gif 使用工具（如ffmpeg）分离GIF动图的各帧 发现二维码片段 拼接二维码片段 扫描汉信码获取内容 根据提示查看动图的时间间隔 处理时间间隔数据获取flag 关键点： 文件格式识别 GIF帧分离技术 二维码拼接 汉信码识别 时间间隔数据分析 6. 厨子处理 解题步骤： 下载虚拟机附件 使用取证大师（如FTK Imager）打开虚拟机 发现开机有密码 查看终端记录发现重启过docker 检索文档发现mimi.txt 使用r-studio恢复并提取目录下的docker文件 在Windows命令中全局搜索ez_ zip 关键点： 虚拟机取证技术 密码恢复技术 Docker相关取证 数据恢复工具使用 7. ez_ zip 解题步骤： 下载附件 第一层zip直接爆破（如使用John the Ripper或hashcat） 获取密码后打开第二层 将第一层sh512中的内容进行sha512加密 将加密结果另存为txt并压缩 对第二层zip进行明文攻击（如使用pkcrack） 清除zip密码后发现flag.zip损坏 用010 Editor修改zip文件数据 使用Bandizip无视报错解压获取flag 关键点： ZIP密码爆破 SHA512哈希计算 ZIP明文攻击技术 ZIP文件结构修复 利用Bandizip的特殊解压功能 8. 你能发现图中的秘密吗? 解题步骤： 第一层： 将图片放入"随波逐流"工具 在RG0通道发现解压key 第二层： 处理图片 在尾部发现异常的IDAT块 提取异常数据，补上PNG文件头和文件尾 用010 Editor导入处理 另存为PNG图片 发现宽高异常，爆破正确的宽高 查看PDF： 检查EXIF信息，发现使用过PS 参考古剑山2024的思路 发现存在2个图层 查看flag2图层获取最终flag 关键点： 图片隐写分析工具使用 PNG文件结构分析 IDAT块处理 图片宽高爆破 PDF文件分析 Photoshop图层分析 通用工具推荐 文件分析：010 Editor, HxD 压缩包处理：Bandizip, pkcrack, John the Ripper 图片分析：Stegsolve, binwalk, exiftool 数据恢复：r-studio, FTK Imager 虚拟机分析：VMware, VirtualBox 哈希计算：hashcat, online hash calculators 重要技巧总结 总是先检查文件头和文件签名 注意非常规的文件扩展名 多层压缩包可能需要多种攻击方式组合 图片隐写注意各个颜色通道和文件结构 取证题目要全面检查各种日志和临时文件 善用工具的特殊功能（如Bandizip的错误容忍） 保持对CTF社区文化和梗的了解