1、下载附件后为一张图片,如下图。
这里我们有如下几个思路:
(1)图片文件宽高格式被更改,flag被隐藏。
(2)图片中含有隐藏文件,需要我们去分离出来。
(3)flag藏在文件数据或备注中。
等等…
2、进行方法1的尝试。
(1)图片原始宽高600×800,转换成16进制为258×320
(2)数据中显示的宽高 03 20 02 58 即320×258,和属性里的相符,故图像宽高并没有被更改。
3、进行方法2的尝试。
(1)可以通过kali的binwalk或者010editor来查看文件中是否隐藏有其他文件。这里我用binwalk查看。
进入到文件存放位置输入binwalk +文件名即可分析文件;
如下图,可以看出从107677地址开始有一个.zip类型的文件。
(2)此时可以使用dd命令或者用010editor找到.zip文件头将下面的数据复制到一个新文件中即可。
①、dd命令:
dd if=要分离的图片名.jpg of=想要分离出来的文件 skip=偏移量 bs=1
dd if=123.jpg of=1234.zip skip=107677 bs=1
②、010editor复制数据:
找到.zip文件头 FF F9,将下面的数据复制到一个新的Hex File中。
可得到一个压缩文件,里面是一张加过密的.jpg图片。
③、还可以用WinRAR点击“查看文件”即可直接查看分离出来的文件。
(3)经过分析,该文件是真加密,则必须要找到密码或者破解密码。(判断文件加密的真伪可参考我的博客:“判断zip文件加密的真假”)这里想到名字叫海市蜃楼2,那必然和海市蜃楼1有关联。于是在海市蜃楼1的压缩包中找到一个可疑文件。
(4)这个文件大小比较大,但是打开后什么都不显示,于是怀疑不是.xml类型的文件,查看源码后得知是.jpg格式的文件,于是更改后缀后打开如下图。
(5)很明显,这是钟南山先生,但是经过使用一般的图片隐写解密方法后并未发现有用的信息,尝试一番后得到解压密码为“zhongnanshan”,即姓名全拼。
(6)解压后打开二维码如下图所示,扫描后得到一段base64的编码,解码后得到单词“easy”。
ZWFzeQ==
(7)显然这不是flag,分析二维码文件格式可得,其也是个压缩包,改后缀为.zip打开后输入base64解码得的“easy”解压即可得到flag。
1436
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
