JPEG (jpg)，　　文件头：FFD8FF　　　　　　　　　　　　　　　　　　　　　　　文件尾：FF D9　　　　　　　　　　　　　　　
PNG (png)，　　文件头：89504E47　　　　　　　　　　　　　　　　　　　　　　文件尾：AE 42 60 82
GIF (gif)，　　文件头：47494638　　　　　　　　　　　　　　　　　　　　　　文件尾：00 3B
ZIP Archive (zip)，文件头：504B0304　　　　　　　　　　　　　　　　　　　　　　文件尾：50 4B

TIFF (tif)，　文件头：49492A00　　　　　　　　　　　　　　　　　　　　　　文件尾：
Windows Bitmap (bmp)，　文件头：424D　　　　　　　　　　　　　　　　　　　　　　　　文件尾：
CAD (dwg)，　文件头：41433130　　　　　　　　　　　　　　　　　　　　　　文件尾：
Adobe Photoshop (psd)，文件头：38425053　　　　　　　　　　　　　　　　　　　　　　文件尾：
Rich Text Format (rtf)，文件头：7B5C727466　　　　　　　　　　　　　　　　　　　　文件尾：
XML (xml)，文件头：3C3F786D6C　　　　　　　　　　　　　　　　　　　　文件尾：
HTML (html)，文件头：68746D6C3E
Email [thorough only] (eml)，文件头：44656C69766572792D646174653A
Outlook Express (dbx)，文件头：CFAD12FEC5FD746F
Outlook (pst)，文件头：2142444E
MS Word/Excel (xls.or.doc)，文件头：D0CF11E0
MS Access (mdb)，文件头：5374616E64617264204A
WordPerfect (wpd)，文件头：FF575043
Adobe Acrobat (pdf)，文件头：255044462D312E
Quicken (qdf)，文件头：AC9EBD8F
Windows Password (pwl)，文件头：E3828596

RAR Archive (rar)，文件头：52617221
Wave (wav)，文件头：57415645
AVI (avi)，文件头：41564920
Real Audio (ram)，文件头：2E7261FD
Real Media (rm)，文件头：2E524D46
MPEG (mpg)，文件头：000001BA
MPEG (mpg)，文件头：000001B3
Quicktime (mov)，文件头：6D6F6F76
Windows Media (asf)，文件头：3026B2758E66CF11
MIDI (mid)，文件头：4D546864

一、二维码

1、使用binwalk分析

binwalk QR_code.png

使用说明：
https://blog.csdn.net/wxh0000mm/article/details/85683661

2、dd分离隐藏文件

dd if=QR_code.png of=flag.zip skip=471 bs=1 //flag.zip解压时需要密码

if=file：输入文件名，缺省为标准输入

of=file：输出文件名，缺省为标准输出

skip=blocks：从输入文件开头跳过 blocks 个块后再开始复制

bs=bytes：同时设置读写块的大小为 bytes ，可代替 ibs 和 obs

Linux dd使用说明:
https://blog.csdn.net/mingzznet/article/details/47439479

3、使用fcrackzip暴力破解压缩包

下载安装

sudo apt-get install fcrackzip

使用

fcrackzip -b -ca -l 1-4 -u 压缩文件

-b 暴力破解模式 -c 指定掩码类型（a=a-z;1=0-9;!=特殊字符） -l 密码长度 -u 压缩文件名

fcrackzip -b -c1 -l 4 -u flag.zip

二、N种方法解决

1、Notepad++打开exe

2、base64解码

https://the-x.cn/base64/

3、得到二维码，手机微信扫描即可

三、大白

注意提示

winhex工具修改图片长宽

679转换16进制为：02A7

256转换16进制为：0100

进制转换器：
https://tool.lu/hexconvert/

尝试将高改高一点，算一下高度256(0x100),通过winhex修改下高度

原来：

修改后：

保存后查看图片

四、你竟然赶我走

winhex直接打开

五、基础破解

ARCHPR破解rar压缩包

口令2563

base64解码

六、乌镇峰会种图

winhex直接打开即可

七、LSB

如果是jpg文件就不能进行lsb隐写

放到stegsolver中

stegsolver使用方法：https://blog.csdn.net/aon8069924165211/article/details/101393923?utm_medium=distribute.pc_relevant_download.none-task-blog-baidujs-2.nonecase&depth_1-utm_source=distribute.pc_relevant_download.none-task-blog-baidujs-2.nonecase

RGB是红绿蓝但他们的值代表的实际上是亮度

R的数字越大，则代表红色亮度越高；R的数字越小，则代表红色亮度越低。G，B同理

R的亮度各有256个级别，GB同理。即从0到255，合计为256个。从数字0到255的逐渐增高，我们人眼观察到的就是亮度越来越大，红色、绿色或蓝色越来越亮。然而256是2的8次方所以你会看见上图的7~0 一共8个通道

而Alpha就是透明度该通道用256级灰度来记录图像中的透明度信息，定义透明、不透明和半透明区域

alpha的值为0就是全透明，alpha 的值为 255 则表示不透明

因此左半部分就理解了

右半部分就是Extra By(额外的)和Bit Order（位顺序）和Bit Plane Order（位平面的顺序）

1）.Extra By(额外的)：分为row（行）和column（纵）

每个像素用R，G，B三个分量表示，那么一张图片就像一个矩阵，矩阵的每个单位就是（0~255，0~255，0~255）

也就会有是纵排列和行排列了，一般事先访问行再访问列（如果相反会引起ve使用方法）

2）.Bit Order（位顺序）:MSB是一串数据的最高位，LSB是一串数据的最低位。

3）.Bit Plane Order（位平面的顺序)

整个图像分解为8个位平面，从LSB(最低有效位0)到MSB（最高有效位7）随着从位平面0 到位平面7，位平面图像的特征逐渐变得复杂，细节不断增加。（一般我们的图片如果是RGB那么就是24位 3乘8嘛）

4）Bit Plane Order（位平面的顺序）:一般图片是24位也就是3个8 大家可以想像成三明治比如BGR就是B为三明治第一层 G为第二层 R为第三层。

3.Steregram Solve:立体试图可以左右控制偏移可以放张图片试一下就知道这个是什么意思了

4.Frame Browser:帧浏览器主要是对GIF之类的动图进行分解，把动图一帧帧的放，有时候会是二维码

5.Image Combiner:拼图，图片拼接（意思显而易见）

八、图片中的秘密

winhex打开查找即可

九、wireshark

wireshark打开流量包，根据提示管理员密码即flag，搜索password：http contains “password”

十、rar

用ARCHPR进行暴力破解

十一、qr

考的是细心

提交时注意将Flag的F改成小写 flag

十二、ZIP伪加密

zip加密注意点：将09修改为00即可

zip伪加密是在文件头的加密标志位做修改，进而再打开文件时识被别为加密压缩包

参考：https://blog.csdn.net/StrawBerryTreea/article/details/80587009?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.control

十三、ningen

解密方法同“二维码”

winhex打开后发现存在txt文件，需要分离

十四、镜子里的世界

用工具stegsolve打开图片在RGB颜色通道中仔细看发现上面有白色的条子

在Analyse->Data Extract中调整，得到flag

十五、被嗅探的流量

直接打开搜索flag

http contains “flag”

十六、小明的保险箱

binwalk分析时发现有一个RAR的压缩包，根据提示，肯定是四位纯数字加密

爆破成功

十七、爱因斯坦

隐藏zip压缩包，但是要密码

查看属性

可以试试备注的密码

十八、easycap

Wireshark打开追踪TCP流

十九、winhex打开

尝试在线转换二进制：
http://www.txttool.com/wenben_binarystr.asp

二十、FLAG

Linux直接打开

二十一、隐藏的钥匙

winhex打开直接搜索flag

ctrl+f键

二十二、假如给我三天光明

图片为盲文

对应密码为：kmdonowg，用该密码打开压缩包，是一段摩斯密码的音频，长的是“-”，短的是“.”，中间是“ ”或者是“/”

需要用音频软件记录频率，听力没法判断

.–/.–././../—–/—../–…/…–/..—/..–../..—/…–/-../–..

工具：https://tool.lu/morse/

二十三、最简单的misc-y1ng1

50 4B 01 02 目录文件头标记（见十二、zip伪加密），将加密注意点09改为00即可解压缩。（疑点：一是这里有两个目录文件头标记，不知道改哪里，二是目录文件头标记不知怎么查找，搜索PK?（已解决：用search功能））

解密后

winhex打开该文件

IHDR 为png文件的文件头数据块，但是png文件头应为89 50 4E 47 0D 0A 1A 0A，补上缺失的文件头89 50 4E 47

参考链接：
https://www.cnblogs.com/mengfanrong/p/3801583.html

修改后重命名为.png文件

十六进制转字符串得到flag：
https://the-x.cn/encodings/Hex.aspx

二十四、A_Beautiful_Picture1

类似题目三、大白，改长宽

二十五、神秘龙卷风

解压密码：5463

然后打开看到+.>是brainfuck（简称为BF，一种极小化的计算机语言），我们用工具（
https://www.splitbrain.org/services/ook）得到flag

二十六、小姐姐-y1ng

找flag、key等BJD是BUUCTF特有的语句

二十七、后门查杀

使用天融信杀毒工具进行扫描，找到含有webshell的php文件

notepad++打开

二十八、荷兰宽带数据泄露

conf.bin是一个路由器配置文件，路由器备份的配置文件一般是.bin格式，默认名称通常是conf.bin。可以使用路由器密码查看器RouterPassView直接进行查看。如图所示是根据提示用户名查看到的flag信息。

涉及的敏感信息都可以尝试提交。

二十九、来首歌吧

用Audacity打开，选择左声道，可以听到莫斯密码

三十、数据包中的线索

直接过滤http，追踪http流，解码base64为一张图片

三十一、九连环

放到kali中用binwalk查看文件foremost分离文件，得到zip.发现有密码，fcrackzip无法解密压缩包

最后发现是伪加密，文件头50 4B 01 02 后面的14 00后面的01 08看起来不对然后改成00 00 发现就没有密码了，里面有个good的图片，后面的压缩文件的密码

然后发现了另一种隐写的方法steghide在卡里里面使用steghide extract -sf 文件名 -p 密码(没有就直接回车)得到txt文件压缩包密码bV1g6t5wZDJif^J7就是qwe.zip的密码解压得到flag

安装steghide工具:https://blog.csdn.net/Jeanphorn/article/details/45034859?utm_source=app

　如果你的Kali Linux还没有更新过的话，那么执行以下命令进行更新。
　　# apt-get upgrade
　　当系统更新完毕后，就可以采取在线安装的方式把steghide工具装入到你的系统中。
　　
　　# apt-get install steghide

（kali更新源遇到问题，以下为盗图）

三十二、面具下的flag

zip伪加密，将90修改为00

解压后，得到一个虚拟机文件

放kali 中用7z来解压就能得到flag文件：7z x flag.vmdk -o./

ook解密：

https://www.splitbrain.org/services/ook

两部分连接：flag{N7F5_AD5_i5_funny!}

三十三、webshell后门

收用工具：D盾扫描

查看文件

flag{ba8e6c6f35a53933b871480bb9a9545c}

三十四、被劫持的生日礼物

flag{1d240aafe21a86afc11f38a45b541a49}

三十五、刷新过的图片

刷新键为F5，但是按F5没用

F5隐写，用工具F5-steganography

下载工具：git clone https://github.com/matthewgao/F5-steganography

提取文件：

java Extract /home/haibao/桌面/Misc.jpg

输出output.txt,发现乱码，改后缀为zip，是zip伪加密

flag{96efd0a2037d06f34199e921079778ee}

三十六、snake

密码：anaconda

链接：http://serpent.online-domain-tools.com/

原文链接：https://blog.csdn.net/aa18390583207/article/details/113798017

ctf常见的文件格式：