CTF之隐写术

1.拿到一张图片我们该做些什么呢？
我还是喜欢用windows下的环境
首先，查看属性，详细信息，这里可能有作者会放密码，当然属于easy的题目
第二步我会把其丢进notepad++里，搜索关键词如key flag txt zip rar他会提示你下一步该做啥
第三步 第二步有答案之后就不用我说吧，改后缀，解压，如果有密码则下载zip字典暴力解（时间太长的请放弃）
第四步 png格式的可以用firework打开试试，可能会有图片夹层
第五步 用stegsolve查看不同RGB下的图片变化
第六步 以上没有结果，考虑用binwalk 看是否可以分离
windows环境搭建请自行百度搜索
binwalk xxx.jpg
记录偏移地址0x开头的
然后用winhex
①通过Alt+G快捷键输入偏移地址xxx跳转到另一张jpg的图像开始块，可以看到
FF D8图像开始块。
②选取使用Alt+1快捷键选取FF为开始的块，Alt+2选取D9为结束块，然后右键->Edit->Copy Block->Into New File保存相应的文件后缀，例如new.jpg

或者foremost分离
linux请百度dd命令
第七步 misc肯定会涉及到隐写，处理mp3的隐写一般使用mp3Stego,但是处理时需要密码，试试用 MP3Stego
第八步 代码
没有明显的文件头 所以我们给它添加，这里直接用Python来，顺便生成最后的图片 不想写代码的我一般会用winhex复制到里面去

import base64
def foo(): 
    f=open('C:\Users\hasee\Downloads\mimimi\zip\pic_png.txt').read() 
    fsave=open('pic.png','wb') 
    addHeader="89 50 4E 47 0D 0A 1A 0A".replace(' ',"").decode('hex') 
    fsave.write(addHeader) 
    fsave.write(base64.b64decode(f)) 
    fsave.close() 
if name == 'main': 
    foo() 
    print 'ok'