H&NCTF 2025 Misc&取证&OSINT全解教学文档

H&NCTF 2025 Misc&取证&OSINT全解教学文档 目录 Misc部分 签到&签退 问卷 芙宁娜的图片 看txt 星辉骑士 垃圾邮件解密 乱成一锅粥了 谁动了黑线? 取证部分 ez_ game OSINT部分 Chasing Freedom系列 猜猜我在哪儿? Misc部分 签到&签退 解题步骤 ： 关注比赛官方公众号 向公众号发送指定信息（通常是"签到"或"flag"等关键词） 从公众号回复中获取flag 问卷 解题步骤 ： 找到比赛提供的问卷链接 填写并提交问卷 提交后会直接显示flag或通过其他方式获取 芙宁娜的图片 解题步骤 ： 使用Stegsolve等工具分析图片 在RGB通道中扫描隐藏信息 发现key或flag信息 看txt 解题步骤 ： 打开提供的txt文件 发现内容是Brainfuck加密的代码 使用Brainfuck解密工具解密 解密后可能需要再进行维吉尼亚解密 星辉骑士 解题步骤 ： 解压提供的docx文件（可重命名为zip后解压） 进入 星辉骑士/word/media 目录 找到flag.zip文件并解压 从解压文件中获取flag 垃圾邮件解密 解题步骤 ： 访问垃圾邮件解密网站：https://www.spammimic.com/ 输入提供的垃圾邮件内容 解密后得到999.txt文件内容即为flag 乱成一锅粥了 解题步骤 ： 下载提供的流量包文件 使用Wireshark等工具分析 导出所有zip文件 分析zip中的txt文件名 发现命名规则是01-50每个数的MD5加密 还原原始txt序列名称 发现是iV开头的base64编码（PNG图片的base64形式） 继续还原得到二维码碎片 拼接图片并扫码获取flag 谁动了黑线? 解题步骤 ： 查看提供的csv文件 关注最后一列tx_ hash（base58编码） 解密base58 排序后发现类似明文格式 编写代码处理： 读取csv表最后一列（跳过第一行标题） 提取每行第9位到第12位 筛选包含小写字母或下划线_ 的数据 将所有筛选结果拼接起来得到flag 取证部分 ez_ game 解题步骤 ： 下载提供的镜像文件 使用火眼等工具挂载镜像 发现readme.txt文件 搜索隐藏文件，找到hhh文件 导出key.jpg和加密zip文件 关键点：图片没有隐写，但可作为密钥文件 参考西湖论剑2025解法，使用图片作为密钥挂载VC镜像 挂载hhh文件得到一个虚拟机 继续挂载vmdk文件 查看历史命令，发现最近访问过hhh文件 导出hhh文件，用010 Editor查看 发现额外字符，推测为零宽隐写 根据提示1：密码是很简单的弱密码（题目已给出） 通过shift反转得到正确密码 解压之前得到的zip，获得flag.drawio文件 使用https://app.diagrams.net/加载文件查看flag OSINT部分 Chasing Freedom系列 Chasing Freedom 1 解题步骤 ： 查看图片属性获取时间信息（0503） 图片定位到蓝眼泪观景台 对周围地点进行详细搜索 逐个尝试可能的定位点 Chasing Freedom 2 解题步骤 ： 识别图片中的灯塔特征 搜索东庠庠岛灯塔 找到匹配的灯塔位置 Chasing Freedom 3 解题步骤 ： 使用Stegsolve等工具分析图片 获取图片中的时间信息 查看图片发现"岚庠庠渡"字样 搜索发现岚庠庠渡只有1,2,3号码头 尝试组合：H&NCTF{0504-东庠庠码头-岚庠庠渡1号} 如不正确，尝试其他组合 猜猜我在哪儿? 解题步骤 ： 根据提示：从太原出发到西安lm研发中心的路途 判断是在高铁上拍摄的取景 大致定位到太原-西安高铁沿线 根据图片朝向和四周地形进一步精确定位 尝试周围可能的地点 最终确定具体位置 关键工具列表 Stegsolve/随波逐流 - 图片隐写分析 Wireshark - 流量包分析 火眼 - 镜像挂载分析 010 Editor - 二进制文件分析 Brainfuck解密工具 维吉尼亚解密工具 Base58/Base64解码工具 https://www.spammimic.com/ - 垃圾邮件解密 https://app.diagrams.net/ - 图表文件查看 常见解题技巧 图片分析时检查所有通道（RGB、Alpha等） 文档文件（docx、pptx等）可重命名为zip解压查看内部结构 注意文件名、文件属性等元数据中的线索 零宽隐写是常见的信息隐藏方式 OSINT题目需要结合地理特征和时间信息综合判断 简单的加密（如base系列、ROT13等）常被使用 历史命令、系统日志是取证题的重要线索来源