CTF
(杂项篇MISC)
攻与防
图片类(一)
Misc为英文miscellaneous的前四个字母,杂项、混合体、大杂烩的意思。
主要题目类型包括:
1.图片隐写、修复、分离
2.字符串类、进制转换
3.音频&视频隐写
4.数据包分析
5.内存取证
6.游戏隐写
7.综合类
今天先给大家分享一下图片类的解题思路和常用工具
一、常用工具
十六进制编辑器010 editor
binwalk或者foremost (文件分离工具)
steghide (图片隐写)
stegsolve (图片隐写)
tweakpng (图片检查)
zsteg (LSB图片隐写)
clocked-pixel (带密码的lsb图片隐写)
exiftool (图片隐写)
strings (查找字符串)
silenteye (图片隐写)
F5-steganography (图片加解密)
Free_File_Camouflage (图片隐写)
imagein (图片隐写)
diffimg (图片对比)
outguess (图片加解密)
二、解题思路
1.首先看看图片属性,养成好的习惯,有许多题目在属性里都能发现隐藏关键信息。比如这道题,属性里提示STEGHIDE。这是一种图片隐写方法,说明这张图片需要用steghide图片隐写工具。
STEGHIDE软件的安装使用方法可以参考下面这篇文章
2.图片文件里藏有字符串。这种情况一般用010 editor十六进制编辑器打开图片,然后仔细查找图片里是否有隐藏信息。比如这道题,用010 editor打开之后发现了一堆特殊字符,只要解开这堆特殊字符就可以了。
010 editor的使用可以参考这几篇文章
3.图片显示不全,高度被修改。很多题目里会给你一张图片,结果发现图片打不开,或者显示不全,这时候就考虑是不是图片高度被修改了,一般都是用010 editor修改回去就可以了。怎么发现图片高度被修改,以及怎么修改高度可以看下面这篇文章。
4.文件头标识或者文件后缀被修改,有时候给你一个txt文件,打开之后乱码,最后发现其实是图片,只是后缀被修改了。或者一张图片打不开,最后发现是文件头标识被修改。比如这道题,txt文件打开之后是一堆乱码。发现头部有个NG,猜测可能是png图片。
用010 editor编辑器打开看看,89504E47是PNG文件头标识。这应该是一张图片被改后缀了。因此将txt后缀改为png。
打开看到一张图片。
常用的文件头标识可以参考这篇文章
三、总结
今天先分享图片类的这几种解题思路,上面提到的工具我也会分享到知识星球里,希望对大家有所帮助。
扫码加入知识星球,更多网络安全资源、信息将在知识星球分享,并且会及时分享安全大厂、事业单位网络安全岗位,有内推机会哦!
如果觉得有用,记得关注公众号、收藏文章哦!
关注公众号,回复“CTF”,领取CTF各方向学习/解题思维导图。回复“面试”,领取网安面试必考题及面试经验。
BugKu CTF
更多CTF比赛信息、writeup请点击公众号菜单栏CTF
往期招聘
END