CTF MISC（杂项）知识点总结——图片类（一）

CTF MISC（杂项）知识点总结——图片类（一）

Misc为英文miscellaneous的前四个字母，杂项、混合体、大杂烩的意思。
主要题目类型包括：
1.图片隐写、修复、分离
2.字符串类、进制转换
3.音频&视频隐写
4.数据包分析
5.内存取证
6.游戏隐写
7.综合类

今天先给大家分享一下图片类的解题思路和常用工具

一、常用工具
十六进制编辑器010 editor
binwalk或者foremost （文件分离工具）
steghide （图片隐写）
stegsolve （图片隐写）
tweakpng （图片检查）
zsteg （LSB图片隐写）
clocked-pixel （带密码的lsb图片隐写）
exiftool （图片隐写）
strings （查找字符串）
silenteye （图片隐写）
F5-steganography （图片加解密）
Free_File_Camouflage （图片隐写）
imagein （图片隐写）
diffimg （图片对比）
outguess （图片加解密）

二、解题思路
1.首先看看图片属性，养成好的习惯，有许多题目在属性里都能发现隐藏关键信息。比如这道题，属性里提示STEGHIDE。这是一种图片隐写方法，说明这张图片需要用steghide图片隐写工具。

STEGHIDE软件的安装使用方法可以参考下面这篇文章

BugKu CTF(杂项篇MISC)—想要种子吗

2.图片文件里藏有字符串。这种情况一般用010 editor十六进制编辑器打开图片，然后仔细查找图片里是否有隐藏信息。比如这道题，用010 editor打开之后发现了一堆特殊字符，只要解开这堆特殊字符就可以了。

010 editor的使用可以参考这几篇文章
BugKu CTF(杂项篇MISC)—这是一张单纯的图片
BugKu CTF(杂项篇MISC)—隐写

3.图片显示不全，高度被修改。很多题目里会给你一张图片，结果发现图片打不开，或者显示不全，这时候就考虑是不是图片高度被修改了，一般都是用010 editor修改回去就可以了。怎么发现图片高度被修改，以及怎么修改高度可以看下面这篇文章。
BugKu CTF(杂项篇MISC)—隐写
BugKu CTF(杂项篇MISC)—只有黑棋的棋盘

4.文件头标识或者文件后缀被修改，有时候给你一个txt文件，打开之后乱码，最后发现其实是图片，只是后缀被修改了。或者一张图片打不开，最后发现是文件头标识被修改。比如这道题，txt文件打开之后是一堆乱码。发现头部有个NG，猜测可能是png图片。

用010 editor编辑器打开看看，89504E47是PNG文件头标识。这应该是一张图片被改后缀了。因此将txt后缀改为png。

打开看到一张图片。

常用的文件头标识可以参考这篇文章
BugKu CTF(杂项篇MISC)—赛博朋克

三.总结
本题需要掌握010 editor编辑器，zip压缩包文件头和伪加密方式，图片隐写查看器Stegsolve，LSB隐写等。
常用文件的文件头如下(16进制)：
JPEG (jpg)，文件头：FFD8FFE1
PNG (png)，文件头：89504E47
GIF (gif)，文件头：47494638
TIFF (tif)，文件头：49492A00
CAD (dwg)，文件头：41433130
Adobe Photoshop (psd)，文件头：38425053
Rich Text Format (rtf)，文件头：7B5C727466
MS Word/Excel (xls.or.doc)，文件头：D0CF11E0
ZIP Archive (zip)，文件头：504B0304
RAR Archive (rar)，文件头：52617221