判断文件格式是否篡改,检查png的文件头和文件尾,文件格式正常
PNG文件头(hex):89 50 4e 47 0d 0a 1a 0a %。PNG
PNG文件尾(hex): 00 00 00 00 49 45 4E 44 AE 42 60 82 IEND
判断否有文件二进制合并,搜索png文件头8950,发现只有一个,未使用二进制合并文件
判断是否修改png图片宽高,使用TweakPNG或者pngcheck等crc校验工具,发现图片宽高正常。
用Stegsolve.jar查看图片是否有变换背景色及隐藏色块
最后用binwalk,执行python -m binwalk -e misc10.png
,发现有情况(如果熟悉zlib文件解析,也可自行写python脚本进行解析~)然后根据文件路径查看分离文件得到ctfshow{353252424ac69cb64f643768851ac790}
misc11
遍历misc10 的步骤
用tweakpng.exe打开发现有两个数据块,根据提示删除数据块,再另存为图片,得到flag