[ACTF新生赛2020]NTFS数据流1

1.打开附件

是一堆文件，随便打开一个内容是flag不在这

2.pyton脚本

编写查找文件夹下一堆文件中那个文件藏有flag的Python脚本

import os

def search_flag_files(folder_path, flag):
    flag_files = []
    for root, dirs, files in os.walk(folder_path):
        for file in files:
            file_path = os.path.join(root, file)
            try:
                with open(file_path, 'r', encoding='utf-8') as f:
                    content = f.read()
                    if flag in content:
                        flag_files.append(file_path)
            except Exception as e:
                print(f"Error reading file {file_path}: {e}")
    return flag_files

if __name__ == "__main__":
    folder_path = "/root/桌面/flag"      #藏有flag的文件夹
    flag = "{"      #查找文件夹下的文件中含有“{”的文件
    flag_files = search_flag_files(folder_path, flag)
    if flag_files:
        print("Files containing the flag:")
        for file in flag_files:
            print(file)
    else:
        print("No files containing the flag were found.")

运行脚本得到含有“{”的文件

3.查看

打开文件夹下293.txt这个文件

4.得到flag

john-in-the-middle1

1.打开附件

是一个流量包

2.Wireshark

用Wireshark打开观察到用images，有图片

3.foremost

用binwalk 文件名 查看文件是否有隐藏的内容

用foremost 文件名

得到一堆图片

发现一张特殊的文件

4.Stegsolve

用Stegsolve打开

5.得到flag

[ACTF新生赛2020]swp1

1.打开附件

解压发现是一个流量包

2.Wireshark

用Wireshark打开

导出http

发现一个压缩包

3.保存

导出并保存此压缩包

4.查看

用笔记本打开.flag.swp文件

5.得到flag

[UTCTF2020]docx1

1.打开附件

是一个文档

2.binwalk

查看是否隐藏文件

3.foremost

用foremost 分离文件

4.查看分离的文件

5.得到flag