- 下載壓縮包解壓
- 如果是圖片就先查看圖片信息
- 沒有有用信息查看圖片看是否是一個圖片
- 如果不是圖片就將文件進行還原
- 從還原文件中查找有用信息
例:這是一張單純的圖片
http://123.206.87.240:8002/misc/1.jpg
(1)查看圖片屬性后沒有任何有效信息
(2)用圖片查看器也能打開,證明確實是圖片
(3)我們用WinHex或者Notepad++打開可以看到最后有一串規律的Unicode碼
key{you are right}
(4)把得到的碼用CTFCrak進行轉碼為Ascii就可以得到了
注:與Unicode有關的字符轉換模式
Ascii ----> Unicode 中文 ----> Unicode
flag flag 旗幟 \u65d7\u5e1c
例2:最危險的地方就是安全的
15584352907afc4ab69ef3c7ca3e905903f171a46d
(1)下載后我們解壓得到一個jpg格式的圖片,查看圖片信息
(2)用圖片查看器打開,可以看到打不開,我們就猜測這不是一個jpg格式的圖片
(3)用Winhex打開,證實了我們的猜想
(4)此時我們就需要用foremost對文件進行恢復,可以看到恢復后的文件全是二維碼圖片
(5)將恢復后的文件的列表並顯示詳細信息,我們局可以發現這個文件格式大小都不一樣
(6)查看其詳細信息,可以發現有個備注了一段Base64加密的密文
ZmxhZ3sxNWNDOTAxMn0=
(6)通過解密就可以得到flag
注:
1.winhex打開后的各類常見文件文件頭,如果文件頭和文件后綴名格式不同,則可以用foremost進行分離或恢復文件
| 文件名 | 文件頭 |
| jpg | FFD8FF |
| png | 89504E47 |
| gif | 47494638 |
| xml | 3C3F786D6C |
| html | 68746D6C3E |
| eml | 44656C69766572792D646174653A |
| xls.or.doc | D0CF11E0 |
| tif | 49492A00 |
| bmp | 424D |
| zip | 504B0304 |
| rar | 52617221 |
| 255044462D312E |
2.foremost的使用,foremost是kali中自帶的,只需要在終端輸入foremost 文件名 就可以自行處理,處理后的文件會自動保存到root/output/文件夾下