…

YLB’s CAPTCHA

第一次从这里知道易霖博，毕竟这个比赛是入门CTF两个月就上手打的，全靠题目图一乐，对系统的知识完全没有了解，大概搜了一下这个验证码相关的事儿，大概就是验证码很恶心难以辨认，一开始还以为是啥web题。毕竟输入了很多次都是0分，想着是不是可以绕过之类的，可是又有很多人过了，也不认为是什么高深的技术手段。后来认认真真的输入了一次，加了一分，真就直接输入验证码呢。
输错了会把分数清零重来，连续输对10次就能得到flag。

阴阳人编码

文本是只由 就这. 就这¿ 不会吧! 组成联想到ook，使用Ctrl+H批量替换，ook解密可得flag

爷的历险记

在data里用记事本打开各种文件，能够直接看到flag

UNCTF{WelC0me_70_UNCTF2oZ0~}

YLB绝密文件

吃了不会python的亏，三个hint文件都拿到了，不会写脚本跑。到处报错。
各种追踪流可以得到xor.py和secret.python-38.pyc，后者反编译一下得到KEY

key= 'YLBSB?YLBNB!'

binwalk可以得到zip文件，解压出来是一个异或后的文件，必然是需要使用解密脚本去跑的
对照着加密脚本去写一个解密脚本，报错，不会写。卡在这了
以下是官方的解密脚本：

##coding:utf-8
import base64
key="YLBSB?YLBNB!"
file = open("YLBSB.docx", "wb")
enc = open("YLBSB.xor", "rb")
count = 0
cipher = enc.read()
for c in cipher:
d = chr(c ^ ord(key[count % len(key)]))
file.write(d.encode())
count = count + 1
enc.close()
file.close()
file = open("YLBSB.docx", "rb")
plain = base64.b64decode(file.read())
file.close
file = open("YLBSB.docx", "wb")
file.write(plain)
file.close()

解码可得YLBSB.docx

最后一行白色的文字即为flag

EZ_IMAGE

百度搜misc拼图之类的关键词，照着步骤去做，调整一下参数就行

montage unctf*.jpg -tile 15x15 -geometry 60x60+0+0 test.jpg

gaps --image=test.jpg --generation=30 --population=300 --size=60

因为配环境的时候有些报错，耽误了时间，不然能拿三血

baba_is_you

之前pi播过这个游戏，还蛮喜欢的，而且目标也是一个flag，就觉得非常亲切。
图片丢winhex可以找到一个视频链接，进入评论区拿flag。

你能破解我的密码吗

shadow文件，搜一下就知道是大概是什么，有一段奇特的字符串
guguguguji:$1$AH$xtjky.3kppbU27tR0SDJT.:18556:0:99999:7:::
扔进kali里john一下

john -show shadow

得到

guguguguji:123456:18556:0:99999:7:::

1 password hash cracked, 0 left

密码就是123456，对其md5加密取32位小写得flag

unctf{e10adc3949ba59abbe56e057f20f883e}

被删除的flag

扔进kali里

strings flag

最后一行就能发现flag

unctf{congratulations!}

应该是一个非预期，strings对付一些题特别好用。
官方wp：
file命令看一下发现是ext3文件，题目提示flag被删除了，用extundelete恢复文件

躲猫猫

excel文件可以改为zip文件，解压之后一个个点开看，就能找到base64加密的flag，解密就是

零

一开始还以为是什么小语种，傻傻的去查词典，查了半天也没个结果，和@Hh0 师傅讨论，师傅说可能是零宽。尝试之后成功。
在线解密地址 http://330k.github.io/misc_tools/unicode_steganography.html

ET-msg

看了hint，google了一下Arecibo，发现了阿雷西博信息，但是没有什么思路
另一个hint是30 80 7 也没思路。
官方wp：
将01绘制成30*80图片后，第一部分为七进制0-6 的二进制表示（最下方点仅表示此处存在数字）

大括号中为七进制构成的flag，三个七进制一组，对照第一部分解出flag

网络深处1

解压，wav文件去DTMF解密，密码：15975384265
解压得到的第二个wav文件扔进audacity里，查看频谱

google搜索Tupper发现Tupper自我指涉公式，有几篇文章附有python脚本，跑了发现报错。
进而找到对应的wiki，wiki上有在线画图脚本，输入字符串即可得到图片

flag{Y29pbA==}

其实拿到flag后我还拿里面的base64解密了，以为解密后才是flag，解密之后还社工了一下，搜coil，其实没啥东西。

mouse_click

一看就知道是usb流量分析，在kali下直接tshark提取，之后以为要去除空行，其实发现几万行的空行，然后批量替换的话也会把有效的换行也替换掉，也很多，之后就懒得搞了
然后找了脚本搞了半天没出来，其实流量包里有废流量，tshark也会一并提取
需要先过滤掉没用的流量，只留下长度为31的流量

文件→导出特定分组，我保存为mouse.pcapng，之后可以tshark提取了，得到正常的数据
从网上抄一个把数据转换成坐标的脚本

#sniffer.py
nums = []
keys = open('usbdata.txt','r')
result=open('result.txt','w')
posx = 0
posy = 0
for line in keys:
    x = int(line[2:4],16)
    y = int(line[5:7],16)
    if x > 127 :
        x -= 256
    if y >115 :
        y -=256
    posx += x
    posy += y
    btn_flag = int(line[0:2],16)  # 1 for left , 2 for right , 0 for nothing
    if btn_flag == 1 :
        result.write(str(posx)+' '+str(-posy)+'\n')
keys.close()
result.close()

# gnuplot
plot "result.txt"

走了超多的弯路，但是也学到了很多，很不错的一道题

撕坏的二维码

官方wp居然反应有人说题目太难，一点感觉也没有，虽然它碎了，但是只需要傻瓜式地补上右边的两个角，就能扫出来
体会到二维码的顽强，这东西真耐操，不错。

倒影

拿到了一血。这题特别简单，但是不知道为什么解的人不是特别多
下载下来解压是个exe文件，丢进winhex里查看头是一张jpg文件，最后有一段base64加密过的东西，解密后是一串字符串

0000000000B4000000A500100010000000006050B405106D6A9EA24E5767106D7AD58AC22940106D7AD58AC229400081001000000000000200A0478747E27616C666000000000000000200000000000000420080000000910000005297D4535E1555E5C90000801000A000F32010B405B4ECC7E9889EDF1BA30C6FF71836EBCFE9A735EFD6E501CE14109505827764B69DC37C6E2E478747E27616C66600000080000000910000005297D4535E1555E5C90000801000A04030B405

最后的4030B405，倒过来就能发现就是zip文件的文件头504B0304，写两行脚本逆序
唯一一个会写的脚本哈哈

s = '0000000000B4000000A500100010000000006050B405106D6A9EA24E5767106D7AD58AC22940106D7AD58AC229400081001000000000000200A0478747E27616C666000000000000000200000000000000420080000000910000005297D4535E1555E5C90000801000A000F32010B405B4ECC7E9889EDF1BA30C6FF71836EBCFE9A735EFD6E501CE14109505827764B69DC37C6E2E478747E27616C66600000080000000910000005297D4535E1555E5C90000801000A04030B405'
print(s[::-1])

得到逆序后的串，粘贴进010editor保存为zip，里面就是flag.txt，发现有密码，搞了好一会不知道密码，还以为要从图片里面得到，对jpg进行了各种detect，无果，后来直接爆破，密码为658745
flag:

UNCTF{Th13_Is_@_F1@G}

bashsecret

下下来是一个命名为pwn的文件，丢进kali，file一下发现是个ELF文件，strings、cat、binwalk皆无果，不会了。而且实名制看不懂官方的wp，大概感觉是需要pwn的知识，纯misc的瓶颈就到这了，继续努力。
官方wp：
报错使sha值为空

第二个输入空则可以使得判断相等

唯一注意报错时候 所带的指令cat可以执行即可。

太极八卦

不会，请会算法的小同学来处理，也没思路。
下面是官方wp：
这一题打开可以看到文本内全是八卦字符，两两一组，中心是=和○，结合hint可以知道○没用，所以根据=可以想到base家族，再根据八卦字符有八种且两两一组，可以联想到八八六十四种情况对应base64，再根据hint可以猜到文本内是双螺旋矩阵，前方高能，眩晕警告：

按照双螺旋矩阵读取成两个字符串，然后根据可以猜到八卦符号中的”—“为1”- -“为0，一个符号从上至下组成一个三位二进制数字，两个三位二进制数对应到b64编码表组成的矩阵中：

图中0是

第一位，1是指第二位

下面贴出的是我的渣渣出题脚本，解题脚本师傅们自行写逆过程吧，我懒得写了：

#!/usr/bin/env python
# -*- encoding: utf-8 -*-
#unctf2020 出题
#coil
 
import base64
import numpy
numpy.set_printoptions(threshold=numpy.inf)
 
gua = "☷☳☵☱☶☲☴☰"
base64_alphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
 
def ToBase64(file):
    with open(file, 'rb') as fileObj:
        image_data = fileObj.read()
        base64_data = base64.b64encode(image_data)
        return base64_data.decode()
def ToFile(fileObj, file):
    base64_data = fileObj.read()
    ori_image_data = base64.b64decode(base64_data)
    fout = open(file, 'wb')
    fout.write(ori_image_data)
 
txt1 = ToBase64("image0.bmp")
print(txt1)
txt1 = list(txt1)
txt2 = ToBase64("image1.bmp")
print(txt1)
txt2 = list(txt2)
 
l = int(pow((max(len(txt1),len(txt2)))*2,0.5))+1
m = "="*(pow(l,2))
m = list(m)
m = numpy.array(m, dtype=numpy.unicode_)
m = m.reshape(l, l)
 
pl = []
pl.append(l)
for i in range(l-2,1,-2):
    pl.append(i)
    pl.append(i)
pl.append(1)
 
start = [0,-1]
plsum = 0
for i in range(len(pl)):
    if plsum == 1612:
        break
    if i%4 == 0:
        index = 1
        for j in range(pl[i]):
            start[index] += 1
            m[start[0],start[1]] = txt1[plsum]
            plsum += 1
    elif i%4 == 1:
        index = 0
        for j in range(pl[i]):
            start[index] += 1
            m[start[0],start[1]] = txt1[plsum]
            plsum += 1
    elif i%4 == 2:
        index = 1
        for j in range(pl[i]):
            start[index] -= 1
            m[start[0],start[1]] = txt1[plsum]
            plsum += 1
    elif i%4 == 3:
        index = 0
        for j in range(pl[i]):
            start[index] -= 1
            m[start[0],start[1]] = txt1[plsum]
            plsum += 1
 
start = [l-1,l]
plsum = 0
for i in range(len(pl)):
    if plsum == 1612:
        break
    if i%4 == 0:
        index = 1
        for j in range(pl[i]):
            start[index] -= 1
            m[start[0],start[1]] = txt2[plsum]
            plsum += 1
    elif i%4 == 1:
        index = 0
        for j in range(pl[i]):
            start[index] -= 1
            m[start[0],start[1]] = txt2[plsum]
            plsum += 1
    elif i%4 == 2:
        index = 1
        for j in range(pl[i]):
            start[index] += 1
            m[start[0],start[1]] = txt2[plsum]
            plsum += 1
    elif i%4 == 3:
        index = 0
        for j in range(pl[i]):
            start[index] += 1
            m[start[0],start[1]] = txt2[plsum]
            plsum += 1
m[int(l/2),int(l/2)] = '○'
 
decode_s = ""
for x in range(m.shape[1]):
    for y in range(m.shape[0]):
        c = m[x,y]
        pos = base64_alphabet.find(c)
        if pos == -1:
            decode_s += c*2 +" "
        else:
            pos = oct(pos)
            pos = str(pos).lstrip("0o")
            pos = pos.zfill(2)
            decode_s += gua[int(pos[0])]+gua[int(pos[1])]+" "
    decode_s += "\n"
 
with open("out.txt", "wb") as outf:
    outf.write(decode_s.encode("utf-8"))

得到的b64字符串解码写文件可以得到两个bmp图片：

根据hint和文本中的两个○，可以猜到是将两个图片融合，这里我们使用融合卡融合stegsolve.jar打开image0.bmp，再用analyse-image combiner打开image1.bmp，第一个就是异或：

可以得到flag是

flag{t@1Ji_6A-Gu4_b64}

总结：

hint -> 知识点 -> 工具

hint1，hint3 -> 双螺旋矩阵 ->

hint2，”＝” -> b64 -> audacity

b64解码后BM开头 -> bmp文件头 ->

hint1，hint3，”○” -> 图片异或 -> stegsolve.jar