2021-01-02

隐写术部分

1. 攻防世界题目1：
   
   [分析过程]
   1、打开图片，猜测flag值在图片底下，wps将pdf转为word格式后，将图片移走发现flag，得到flag{security_through_obscurity}
   
   此题运用到了PDF转换器，属于隐写术里最简单的一部分，把flag隐藏在图片下避免被攻击者发现
   2. 下面进行类似题目的扩展：如何查找图片中隐藏的flag
   这里举例jpg格式的图片，比如我们现在要对它进行分析，查找图片中隐藏的flag。首先上期说到过一些关于图片格式的知识
   JPEG格式和标记
   每一个JPEG文件的内容都开始于一个二进制的值 ‘0xFFD8’, 并结束与二进制值’0xFFD9’. 在JPEG的数据中有好几种类似于二进制 0xFFXX 的数据, 它们都统称作 “标记”， 0xFFD8 的意思是 SOI图像起始, 0xFFD9 则表示 EOI图像结束。标记的基本 格式如下：
   **0xFF+标记号(1个字节)+数据大小描述符(2个字节)+数据内容(n个字节) **

在kali下用hexeditor工具打开某张图片如下图：

有了这些知识，我们就可以分离一张图片中隐藏的其他文件/信息。

可见，在图片中还隐藏了其他文件。或者用foremost工具自动分离图片和其他信息，工具命令：foremost 123.jpg，此时会在当前目录下生成一个output***文件夹。

OK,打开rar文件夹，里面的txt文件内容就是隐藏的flag。

**3. 面具下的flag
下载附件

foremost（隐藏文件分离工具）分离出一个vmdk压缩包，用7z打开，得到

在压缩状态打开第二个文件夹，里面有两个txt文件，

直接打开第二个txt文件可以看到一个Ook码。

另一个明显是Ook和brainfuck，一般来说，像这种格式的文件，应该是某种加密方式，百度得到一个网址 https://tool.bugku.com/brainfuck/可在线进行解密。

（这里扩展一个关于binwalk工具的用法知识点：
Binwalk的扫描实现方法，就是把重复而复杂的手工分析方法通过程序实现。但是Binwalk并不是简单地使用file命令识别文件类型，file命令识别文件类型是从文件的第一个字节开始，逐字节把路由器文件分割成多个文件，同时，libmagic动态库为文件扫描提供了更好的解决方案。
在binwalk中，主要使用来自libmagic库的4个函数，分别为magic_open、magic_close、magic_buffer、magic_load。
①magic_t magic_open(int flags); -----> 创建并返回一个magic_cookie指针。
②void magic_close(magic_t cookie); -----> 关闭magic签名数据库并释放所有使用过的资源。
③const char *magic_buffer(magic_t cookie, const void *buffer, size_t len); -------> 读取buffer中指定长度的数据并与magic签名数据库进行对比，返回对比结果描述。
④int magic_load(magic_t cookie, const char *filename); ---------> 从filename指定文件加载magic签名数据库，binwalk把多个magic签名文件组合到一个临时文件中用于加载。
　　binwalk是使用python编写的，它通过python调用libmagic库中的导出函数并使用面向对象的方式进行封装，封装文件在binwalk/src/binwalk/core/magic.py中。Magic类包含两个成员函数：
Magic.buffer(data)函数，读取内存缓冲区数据，判断是否符合某一文件类型。
Magic.close()函数：关闭magic签名数据库，释放所有使用的资源。）
放两个binwalk工具的分析介绍网址：https://www.cnblogs.com/blacksunny/p/7214522.html
https://blog.csdn.net/wxh0000mm/article/details/85683661
4.攻防世界题目2

[分析过程]
1、下载附件，打开gif图会看到小龙人数完钞票会展示二维码，使用stegsolve（图像隐写工具）等查看帧数得到二维码

可见二维码缺少三个小方块，而这些小方块被称为定位图案，用于标记二维码矩形的大小，用三个定位图案可以标识并确定一个二维码矩形的位置和方向。

再使用工具ps将二维码修复完全便可获得完整二维码，扫描后获得flag。

扫描完后得到flag：flag{e7d478cf6b915f50ab1277f78502a2c5}
这些只是一些简单的图片隐藏题目，从中学习到了如何通过使用一些工具将图片后隐藏的flag找到，同时这也需要一些对简单工具的运用和理解，后期还会继续努力的！