cuihua 2022.4.11-17BUU刷题记录

听了，真的很难听，

audacity打开，波形是平的

和前面那道题有点像

kali的qsstv工具

安装qsstv

apt install qsstv 

安装成功后，在终端下输入qsstv，自动打开

下载后，在终端输入qsstv，自动打开系统qsstv，然后点击Options->configuration->sound->sound input->from file

点击OK,然后点击此按钮，选择要解码的文件，然后开始解码

flag{r3ce1ved_4n_img}

flag{r3ce1ved_4n_img}

这似乎是另一个内存取证问题

./trid 26.img 

可以看到可能的文件类型

什么也没发现，然后去虚拟机挂载看看

命令：

mount 26.img /mnt 

如果不成功，可以添加sudo或者尝试几次，直到输入ls出现文件

输入cd /mnt，再输入ls文件显示挂载成功

然后再输入ls -lha查看具体信息

打开文件系统mnt文件夹，查看分离的图片

什么也没找到，但是前面什么也没找到，ls查看时有lost found百度字样

ext指extundelete，文件可以恢复，详情请参考本博客

(11条消息) 文件恢复原理&&Linux文件恢复工具-foremost&extundelete_Red snow的博客-CSDN博客_foremost 恢复

使用命令：

extundelete 26.img --restore-all  

然后打开恢复文件夹

使用cat命令打印或010打开文件

cat file.17 

或者先检查恢复文件是什么，然后打印出来

010

flag{fugly_cats_need_luv_2}

cat,ls,extundelete命令恢复文件，mount挂载文件

这是什么？

操作程序看，是一个游戏，直接在最右边flag了

flag{You_Are_The_Ready_Player_One!!!For_Sure!!!}

flag{You_Are_The_Ready_Player_One!!!For_Sure!!!}

玩游戏获得flag

这个题目的名字很有趣

010打开，

photo.dat，它应该与图片有关，分析开头和结尾

有点类似于jpg的FFD8FF文件头和FFD9文件的结尾，如何转换成？jpg格式呢？想到那些常用的计算方法—二进制与、二进制或、二进制异或与二进制反转，这更为常见，CC和FF二进制分别为：

CC 11001100

FF 11111111

CC^x=11111111

如果两个相应，异或运算符就是这个意思。bit如果位置相同，结果为0，否则为1

（1） 0^0=0，01=1 0或任何数量=任何数量

（2） 1^0=1，11=0 1异或任何数－任何数取反

（3） 任何数异或自己=把自己放在00里

这样就可以一位一位地推断出x是多少，1-8位x和CC的bit位都不一样，很简单，x应该是

0110011转换为16进制的33

转换器在线进制 | 菜鸟工具 (runoob.com)

与33异或

010

看上去很成功

保存，修改后缀jpg，打开，

这张照片从未见过，百度

根据图片中的信息定位，查询网站

https://v.juhe.cn/cell/Triangulation/index.html?s=inner

这个flag很离谱，是中文

flag{桂林电子科技大学花江校区}

flag{桂林电子科技大学花江校区}

二进制异或联通基站定位

看题目描述，应该和二维码有关

010打开

发现在文件的后面png存储数据

选择后复制16个制作文本

然后新建010文件，粘贴16进制文本

保存，打开

这是一个不完整的二维码。试了试就扫不出来了

回到刚才的图片，stegsolve打开也没发现什么，silent eye什么也没解决，

百度一下能不能修复

试试看

借助网站

QRazyBox - QR Code Analysis and Recovery Toolkit (merricx.github.io)

新建一个project

然后新建空白二维码(导入会出错)

调整大小为29x29.这是根据不完整的二维码确定的

尺寸说如下，共29个间隔

然后就一点点的根据这一半二维码进行填充，记得，补全黑色部分后，也要把白色的部分填补上，因为灰色是算“空”的。借助这个分隔进行填充，不然容易搞错

然后点击Tools-Extract QR Infomation

就看到flag了

flag{OQWIC_4DS1A_S034S}

二维码修复工具

打开第一个看看

邮箱协议

POP3

POP3是Post Office Protocol 3的简称，即邮局协议的第3个版本,它规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议。它是因特网电子邮件的第一个离线协议标准,POP3允许用户从服务器上把邮件存储到本地主机（即自己的计算机）上,同时删除保存在邮件服务器上的邮件，而POP3服务器则是遵循POP3协议的接收邮件服务器，用来接收电子邮件的。(与IMAP有什么区别？)

SMTP

SMTP 的全称是“Simple Mail Transfer Protocol”，即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范，通过它来控制邮件的中转方式。SMTP 协议属于 TCP/IP 协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。SMTP 服务器就是遵循 SMTP 协议的发送邮件服务器。 　　SMTP 认证，简单地说就是要求必须在提供了账户名和密码之后才可以登录 SMTP 服务器，这就使得那些垃圾邮件的散播者无可乘之机。 　　增加 SMTP 认证的目的是为了使用户避免受到垃圾邮件的侵扰。

IMAP

IMAP全称是Internet Mail Access Protocol，即交互式邮件存取协议，它是跟POP3类似邮件访问标准协议之一。不同的是，开启了IMAP后，您在电子邮件客户端收取的邮件仍然保留在服务器上，同时在客户端上的操作都会反馈到服务器上，如：删除邮件，标记已读等，服务器上的邮件也会做相应的动作。所以无论从浏览器登录邮箱或者客户端软件登录邮箱，看到的邮件以及状态都是一致的。（与POP3有什么区别？）

参考：什么是POP3、SMTP和IMAP?-163邮箱常见问题

百度一下常用的SMTP协议

过滤smtp流量，可以很明显的看到几个邮箱地址

打开其中一条

可以知发送邮箱是 xsser@live.cn

flag{ xsser@live.cn}

SMTP邮箱协议

取证题目,名称是火狐，可以借助一个工具

firepwd ，github下载工具

https://github.com/lclevy/firepwd

打开解压后的文件夹，打开终端，输入

python firepwd.py logins.json

在最后面看到flag

如果出错自行百度

注意这个flag不用flag{}包起来

GKCTF{9cf21dda-34be-4f6c-a629-9c4647981ad7}

firepwd工具的使用

百度一下The fourth extended filesystem

这不是前面那个文件恢复程序嘛

没有img文件，先放着，

有备注，第一时间联想到压缩包密码

用Kali的foremost分离看看

jpg文件夹里还是刚刚那张图片，压缩包打开是加密的，正好用前面那个备注里的信息破解一下试试

Pactera

还真是解压密码，得到一个file.txt

这熟悉的感觉，

脚本

import re

file = open('file.txt')    #根据路径自行调整
line = file.readlines()
file.seek(0,0)
file.close()

result = { 
        }
for i in range(97,123):
   count = 0
   for j in line:
      find_line = re.findall(chr(i),j)
      count += len(find_line)
   result[chr(i)] = count
res = sorted(result.items(),key=lambda item:item[1],reverse=True)

num = 1
for x in res:
      print('频数第{0}: '.format(num),x)
      num += 1

D:\Programes\py37_work\Scripts\python.exe D:/Programes/pythonProject/字频统计.py
频数第1:  ('h', 1700)
频数第2:  ('u', 1650)
频数第3:  ('a', 1600)
频数第4:  ('n', 1550)
频数第5:  ('w', 1500)
频数第6:  ('e', 1450)
频数第7:  ('s', 1350)
频数第8:  ('i', 1300)
频数第9:  ('k', 1250)
频数第10:  ('o', 1150)
频数第11:  ('b', 0)
频数第12:  ('c', 0)
频数第13:  ('d', 0)
频数第14:  ('f', 0)
频数第15:  ('g', 0)
频数第16:  ('j', 0)
频数第17:  ('l', 0)
频数第18:  ('m', 0)
频数第19:  ('p', 0)
频数第20:  ('q', 0)
频数第21:  ('r', 0)
频数第22:  ('t', 0)
频数第23:  ('v', 0)
频数第24:  ('x', 0)
频数第25:  ('y', 0)
频数第26:  ('z', 0)

进程已结束,退出代码0

结果似乎有点问题，还是用网站吧

网站

语料库在线–字词频统计 (zhonghuayuwen.org)

flag{huanwe1sik4o!}

图片属性，foremost分离，字频统计