圖片11.png
可以看到flag{AppLeU0}�,就是需要了解隱藏信息的地方,隱寫術(shù)有的時候難�,就是難在了一張圖片有太多的地方可以隱藏信息了�,有的時候根本連隱藏的載體都找不到,在你的眼里他就是一張正常的圖片�。
0x04 編程輔助
有一些情況下,我們也是沒有現(xiàn)成的工具來完成的,可以自己寫一些簡單的程序來輔助我們進(jìn)行分析�,或者是加解密。比如sctf的misc400的題目�,就需要用到一些簡單的編程。題目給出了一個png圖片�,需要我們找到有SCTF{}標(biāo)志的flag。
這個題需要我們對于png圖片的格式有一些了解�,先用stegsolve查看一下,其他的LSB之類的并沒有發(fā)現(xiàn)什么問題�,然后看了一下結(jié)構(gòu)發(fā)現(xiàn),有一些異常的IDAT塊�。IDAT是png圖片中儲存圖像像數(shù)數(shù)據(jù)的塊。Png圖片格式的擴(kuò)展閱讀可以看看這篇
http://www.cnblogs.com/fengyv/archive/2006/04/30/2423964.html
有詳細(xì)的介紹�。
圖片12.png
可以用pngcheck來輔助我們觀察,可以看得更加清晰�。pngcheck.exe -v sctf.png
圖片13.png
可以看到�,正常的塊的length是在65524的時候就滿了,而倒數(shù)第二個IDAT塊長度是45027�,最后一個長度是138,很明顯最后一個IDAT塊是有問題的�,因為他本來應(yīng)該并入到倒數(shù)第二個未滿的塊里。
圖片14.png
我們用winhex把這一部分異常的IDAT塊給扣出來�。然后就是要研究研究這個塊是什么情況,發(fā)現(xiàn)了載體之后就是要想辦法找出他的規(guī)律�。觀察那一部分的數(shù)據(jù),可以看到是16進(jìn)制的78 9C開頭的,百度一下分析是zlib壓縮的標(biāo)志�。在png的百度百科里也可以查到PNG的IDAT是使用從LZ77派生的無損數(shù)據(jù)壓縮算法,可以用zlib解壓�。那么就嘗試用zlib來解一下這段數(shù)據(jù)。Zlib的擴(kuò)展閱讀http://zlib.net/
我們使用python來編程�,先把那段數(shù)據(jù)處理一下,保存成16進(jìn)制的�。
