题目给出了一张图片,打开看看就是很正常的图片,直接丢到Stegsolve工具,看看能不能发现什么有用的东西,结果什么都没有,于是通过010editor打开,发现直接给报了个错,肯定有猫腻。(为什么有的小伙伴没有这个报错,后面会讲。)
于是我直接使用binwalk分析一下有没有其他文件,发现有个rar压缩包,还可以看到是加密的。
那么就需要密码了,我首先想到的是在数据末端,于是就找了找,发现并没有什么可以的字符串。那么这时候就想到010editor报了CRC校验错误,说明什么地方被篡改过,png常见手法就是改高度。那么我们找到对应位置,修改一下就可以。
修改前:
双击就可以修改,修改后:
打开图片显示出了密码
将压缩包解压,发现一个数据包,我翻了好久都没找到flag,这里参考了大佬的writeup,搜索png关键字,找到有个kiss.png,下面有一串base64,解码得到flag。
flag:flag{Oz_4nd_Hir0_lov3_For3ver}
这里说一下为什么我的010editor会报错,因为我安装了png图片的模板,它会计算CRC值,和原来的CRC值对比只要不一样就会报错,安装这个模板在做题中是非常有帮助!!!。安装步骤:
点击Templates->online Template Repository,会跳到各种模板的下载界面,找到png的模板,也可以下载其他的模板。
将内容复制出来,点击Templates->Edit Templat List。
从File Name可以找到模板的路径,打开新建一个png.bt,将复制的内容粘进去。然后点击New,选择刚刚创建的png.bt,Mask填*.png。就OK啦
安装模板的好处有很多,像可以检查CRC报错,还能很直观的看到文件的结构,就比如这道题让修改高度,直接找到high修改就完事儿了,不用死记高度的位置!!!