[实验吧](隐写术) so beautiful so white

题目链接：
http://www.shiyanbar.com/ctf/1904

---

分析：
下载题目中提供的文件(white.zip)
文件名:white.zip
白色的,会有什么用呢?
压缩包,第一反应解压试试
说干就干,解压到white文件夹

Paste_Image.png

发现其中包含了两个文件:
1.password.png(不用说,这里面肯定有好东西)
2.zip.zip(压缩包?打开瞧瞧)

先打开zip.zip看看

Paste_Image.png

啊,需要密码,哈哈,这下思路就比较清晰了
应该是从password.png中得到一个密码
然后使用这个密码解压zip.zip
flag应该就藏在zip.zip中了

好的,我们来分析这个png文件
首先看属性

Paste_Image.png

并无有用信息

UE进行16进制分析

Paste_Image.png

Paste_Image.png

文件头/文件尾都没有发现异常

这时,就应该知道,我们的信息应该不是隐藏在文件头或者文件尾中
信息应该就在图像数据中

打开Stegsolve载入图片进行通道分析

Paste_Image.png

发现Key,这个应该就是zip文件的解压密码,试一下:
Key{forensics_is_fun}
解压成功
看看里面都有什么文件

Paste_Image.png

只有一个gif文件,但是貌似并没有预览出来,说明这个文件可能有损坏的情况
我们还是按照相同的思路
先查看属性

Paste_Image.png

无有用信息,然后UE进行16进制分析:
查看文件头:

Paste_Image.png

并不是正常的gif的文件头,应该是文件头被破坏,应该进行修复
各种文件文件头信息汇总
gif格式的文件头为:GIF8
因此我们需要在文件开头处添加:GIF8
添加好之后我们再打开看看

a.gif

然后发现会闪动跳过一些字符,当然肯定就是flag了,用ps或者其他的图片处理软件
查看每一帧,写出来就好了

GIF在线分解器

Paste_Image.png

点击保存所有帧即可

Paste_Image.png

---

答案：
CTF{AS3X}

---

知识点：
文件头
图像通道
GIF文件头简单修复
GIF分解所有帧
使用UE进行16进制编辑