圖片11.png
可以看到flag{AppLeU0}����,就是需要了解隱藏信息的地方�,隱寫(xiě)術(shù)有的時(shí)候難,就是難在了一張圖片有太多的地方可以隱藏信息了,有的時(shí)候根本連隱藏的載體都找不到�,在你的眼里他就是一張正常的圖片。
0x04 編程輔助
有一些情況下��,我們也是沒(méi)有現(xiàn)成的工具來(lái)完成的��,可以自己寫(xiě)一些簡(jiǎn)單的程序來(lái)輔助我們進(jìn)行分析����,或者是加解密。比如sctf的misc400的題目���,就需要用到一些簡(jiǎn)單的編程����。題目給出了一個(gè)png圖片��,需要我們找到有SCTF{}標(biāo)志的flag����。
這個(gè)題需要我們對(duì)于png圖片的格式有一些了解����,先用stegsolve查看一下�,其他的LSB之類的并沒(méi)有發(fā)現(xiàn)什么問(wèn)題����,然后看了一下結(jié)構(gòu)發(fā)現(xiàn),有一些異常的IDAT塊�����。IDAT是png圖片中儲(chǔ)存圖像像數(shù)數(shù)據(jù)的塊�。Png圖片格式的擴(kuò)展閱讀可以看看這篇
http://www.cnblogs.com/fengyv/archive/2006/04/30/2423964.html
有詳細(xì)的介紹。
圖片12.png
可以用pngcheck來(lái)輔助我們觀察�,可以看得更加清晰。pngcheck.exe -v sctf.png
圖片13.png
可以看到�,正常的塊的length是在65524的時(shí)候就滿了,而倒數(shù)第二個(gè)IDAT塊長(zhǎng)度是45027���,最后一個(gè)長(zhǎng)度是138,很明顯最后一個(gè)IDAT塊是有問(wèn)題的���,因?yàn)樗緛?lái)應(yīng)該并入到倒數(shù)第二個(gè)未滿的塊里���。
圖片14.png
我們用winhex把這一部分異常的IDAT塊給扣出來(lái)�。然后就是要研究研究這個(gè)塊是什么情況��,發(fā)現(xiàn)了載體之后就是要想辦法找出他的規(guī)律�。觀察那一部分的數(shù)據(jù)���,可以看到是16進(jìn)制的78 9C開(kāi)頭的���,百度一下分析是zlib壓縮的標(biāo)志����。在png的百度百科里也可以查到PNG的IDAT是使用從LZ77派生的無(wú)損數(shù)據(jù)壓縮算法�����,可以用zlib解壓��。那么就嘗試用zlib來(lái)解一下這段數(shù)據(jù)���。Zlib的擴(kuò)展閱讀http://zlib.net/
我們使用python來(lái)編程,先把那段數(shù)據(jù)處理一下�����,保存成16進(jìn)制的。
