MISC系列——图片隐写初阶套路（持续填坑中）

方法汇总

• winhex的使用
• 查看图片属性
• 图片高宽度修改引起的隐写
• LSB隐写
• 帧数查看
• 复合文件隐写
  
  注意都是初阶套路，misc水很深，能淹死人的那种。
  有时需要多项结合，望诸君充分利用，实践出真知。
  
  
  
  
  
  
  

winhex的使用

winhex 是一个专门用来对付各种日常紧急情况的工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。总体来说是一款非常不错的 16 进制编辑器。

现在就来基本介绍一下其在ctf中的使用：

如这张图片，下载后用winhex打开，就能看到如下标蓝的字符串：

unicode解码即可。

很多类低阶图片隐写都可以用winhex查看得出。
网上资源很多，要是实在没找着还可以用010editor代替。

查看图片属性
这个没啥好讲的。
一张图洞破天机。

虽然这个没啥有用的，一般套路就是base64什么加密也没啥意思……








图片高宽度修改引起的隐写
题目下载
下载后解压缩为一张图片，继续使用前面提到的工具winhex打开。

在继续操作前，先来了解下PNG的文件格式。
上图的89 50 4E 47是PNG文件的文件头。
而从IHDR开始就是文件头数据块。
此后的八个字节就是图片宽高的值。
详细参考下图：

再继续操作，把高宽值改一样，这里的原理：

只要宽高大于原图的宽高就可以把全图显示出来。

注意这里是把高宽改大，一些二五仔却总是喜欢把它改小解不出来问为什么……
最后打开图片就可以看到gf了。

LSB隐写
选用真——脑洞比赛iscc的题来讲解一下，最后flag真的弄得我心力交瘁……

上述套路验过了都不行，就想了是不是lsb隐写，这里要用到一个工具StegSolve。
注意，这个软件要配置JAVA环境。
戳我
下载好后打开这个图片。
Analyse–>Data Extract

上述分别是红绿蓝通道，原理太复杂还要扯到RGB，ctf练习生不需要了解。
所以，Preview就可以看到上面那个iscc之类的了。
到这里我还是要吐槽一下，你个flag格式都不给，弄半天恶心心？？？

帧数查看
题目下载
下载后发现是个扭曲的二维码，得想办法暂停一下。
继续用到上面的工具StegSlove打开gif。
Analyse–>Frame Browser

打开就用下面的箭头一个一个点就是了，挨个用手机扫拼起来就是flag。

复合文件隐写

如上图，上述套路都莫得用。
不用想了，binwalk。
kali虚拟机操作。

如上，发现捆绑了好几个文件，从158792块开始就是另一jpg文件了。
所以使用dd。

这里解释一下：

if为上述测试的文件名，of为输出的文件，skip为跳过的数据块，bs为跳过一个的意思。

这样就分离出了嘤嘤嘤。

许多题目都是复合文件，binwalk还大有用处，有道是 kali用得好，局子……
手动滑稽。