一、题目
D公司正在调查一起内部数据泄露事件,锁定嫌疑人小明,取证人员从小明手机中获取了一张图片引起了怀疑。这是一道送分题,提示已经在题目里,日常违规审计中频次有时候非常重要。flag提交格式DDCTF{}
解压后只有一张图片
二、解题思路
jpg文件首先用binwalk工具查看是否有隐写,进行分离图片,后发现有zip的文件,打开有个file.txt文件有密码,查看jpg图片的备注有东西,应该是密码,打开文件后出现一些数据,后进行词频分析得到flag。
三、解题过程
先用binwalk工具查看
┌──(root💀kali)-[~]
└─# binwalk /root/桌面/windows.jpg 3 ⨯
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 JPEG image data, JFIF standard 1.01
30 0x1E TIFF image data, big-endian, offset of first image directory: 8
2825118 0x2B1B9E Linux EXT filesystem, blocks count: 2560, image size: 2621440, rev 2.0, ext4 filesystem data, UUID=57f8f4bc-abf4-0000-675f-946fc0f9c0f9
7236510 0x6E6B9E Zip archive data, encrypted at least v2.0 to extract, compressed size: 18210, uncompressed size: 30500, name: file.txt
7254812 0x6EB31C End of Zip archive, footer length: 22
发现有中间有个zip的文件,利用foremost工具解出文件
打开zip的文件发现里面有txt文件
但是有密码,看一下源jpg的图片发现备注里有东西
这个应该就是密码,打开文件发现一堆的数据
这里要给数据进行词频
from collections import Counter
f= open('file.txt','r')
f_read=f.read()
res = Counter(f_read)
print(res)
#ka1f4NgxIntAi
解出DDCTF{ka1f4NgxIntAi}