FIVE1
下载图片,kali下foremost恢复文件,将得到的图片用Winhex打开进行观察,发现最后面有一段貌似是代码的东西。
LS0uLi4gIC4tICAuLi4uLiAgLS0uLi4gIC4tICAuLi4uLiAgLi0gIC0tLi4uICAuLi4uLSAgLi4uLS0gIC0tLS4uICAtLS0tLiAgLi4uLi0gIC4tICAtLS0tLSAgLiAg
这是个base64编码,解码出来是一段摩斯电码:
--... .- ..... --... .- ..... .- --... ....- ...-- ---.. ----. ....- .- ----- .
再将摩斯电码解码:
7A57A5A743894A0E
这个是个md5加密,解密之后得到的就是flag。
so beautiful so white(文件头修改)
将文件下载,需要从里面的图片中找到里面的压缩文件的密码。
用stegsolve查看能得到密码如图(大括号里面的):
将这个gif文件解压出来,用Winhex打开,发现文件头不对。
GIF文件的文件头应该是:47 49 46 38 39 61。
这个前面少了47 49 46 38,加上之后动态图片正常,然后用stegsolve打开,在Analyse->Frame Browser,一帧一帧查看,就拿到flag了。