入校第一周
misc
misc是一种在图片文档里藏信息的加密方式本身很好理解,有多种加密方式和对象,在处理不同加密对象的时候用的方法也不一样
1.在了解misc之前要先记住的是不同文件的文件头文件尾,因为加密的方式不同,以及可以通过文件头判断文件是否被破环,有题型为文件头被破环而不能打开
zip文件头为50 4B 03 04
JPG文件头为FF D8 FF E0 00 10 4A 46 49 46 00 01或FF D8 FF E1
文件尾为03 FF D9
需要注意的是JPG在163,164和165,166处的对应码代表了JPG图片的宽和高
PNG的文件头为89 50 4E 17尾为00 00 00 00 49 45 4E 44 AE 42 60 82 在12,13代表宽在14,17代表高
GIF头文件47 49 46 38
接下来是不同文件的加密方式
PNG
1.png主要的加密方式还是直接去修改文件的数据比如改变图片的高使一部分信息无法显示这时候只要在对应工具winhex中在对应行列修改高度就可以显示,但要注意修改宽可能会使图片无法显示,修改高则不会
2.当png的宽被修改使图片无法显示时就需要找到该图片的CRC值去回复,需要找到相应脚本找到CRC爆破代码,爆破之后就可以得到图片原本的高和宽
3.steg solve,用来更改文件的颜色通道,一些图片的信息只有在特定颜色通道才会显示。
4.在winhex中发现某个文件的头文件是对应的格式而该文件没有文件名无法显示就加上对应文件尾就可以
zip
1.zip有一个伪加秘密的形式比如在它的头文件50 4B 03 04 14 00 00 在倒数第二位的0就是加密位,为奇数时就已经加密,为偶数时则没加密
2.当不是伪加密时将需要强行破解了可以用到的工具是AR CHPR4.54 Professional Edition 这个也可以去破译数字密码,在题目中给出条件是有四位密码可以通过强行去破解
JPG
1.JPG的加密方式几本和PNG一样除了对应的数据位置不同,但JPG有一种自己的加密方式是Base64转图片,常见是一个exe的格式但是不能去运行在winhex中就会发现它的格式是符合base64的格式的这上候去base64转图片就可以
GIF
1.gif的某一帧里就会藏着信息,这时候就需要查看某一帧用到的工具还是steg solve
2.(这个过程是真的没有看懂)在虚拟机里像binwalk一样输入代码identify-format“%s%t\n"就可以对应的把所有的帧数转一个数字出来如果某一帧的对应数字和其它帧不一样则这一帧有问题用steg solve把这一帧单独提取出来研究
然后就是学会根据报错去网上搜索解决办法
题目
1.点击就是答案
2.一样放进winhex
就是很标准的png头文件但文件本身是一个txt所以就是改变文件的名称就可以得到
3.也是点开就是答案。。。
4.4是2的进阶版本但又没有进阶多少。。。
放入winhex后会发现这些都是png的文件之后就是一一改变文件名会得到六张图片分别保存flag的一部分
5.题目直接给出了png的图片并且格式没有任何的问题这时候就考虑是不是藏了信息在图片的代码中打开winhex查看相应的文字
果然
6.与第五题一模一样只是换了文件的类型所以一样的方法
7.相比第六题甚至没有改变格式。。。
8.和前几题一样但是在winhex中搜索相应的文本时却没有反应那么就要考虑别的办法了格式没有问题那就考虑隐藏文件简单的看一下有没有隐藏文件再去binwalk分离,我的办法是改变文件头使文件原本的文件头消失然后搜索文
确实有接下来就应该是去binwalk分解但这道题我的分解出现了问题一直会出现无法打开的文件然后就是在winhex中把前一个的png数据剪切掉剩下另外一张图片的数据保存后就会得到隐藏的图片(感觉包含的隐藏文件少的时候可以这样干例如这个题就只有一个隐藏文件)
9.这道题有点奇怪因为题目的提示是flag藏在图片块里但我去尝试找到图片块时试了一下直接去搜索ctfshow
10.这个很直接告诉说flag在图片数据里,没有?没有就分解binwalk这个分解倒没有出现8题那样的情况
826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
