准备工具:winhex付费版(免费版功能有缺失),Stegsolve,MP3Steno等
ctf常见隐写术总结
简单隐写:
- 右键查看图片属性,检查图片简介。
- winhex打开,Ctrl+F查找有无flag明文。
文件类型:
给出的文件不一定是它后缀名显示的文件,所以应该先用winhex打开它确认文件种类
- JPEG (jpg),文件头:FFD8FF
- PNG (png),文件头:89504E47
- GIF (gif),文件头:47494638
- Windows Bitmap (bmp),文件头:424D
- ZIP Archive (zip),文件头:504B0304
RAR Archive (rar),文件头:52617221
复合文件:
在kali里面使用binwalk工具即可查看
如:root@kali:~# binwalk ‘/root/桌面/misc1.jpg’
DECIMAL HEXADECIMAL DESCRIPTION
-——————————————————————————-
0 0x0 JPEG image data, EXIF standard
120xC TIFF image data, little-endian offset of first image directory: 8
4413190x6BBE7 Zip archive data, encrypted at least v2.0 to extract, compressed size: 90598, uncompressed size: 91905, name: hidden.jpg
5319570x81DF5 Zip archive data, encrypted at least v2.0 to extract, compressed size: 38092, uncompressed size: 38829, name: logo.png
5702690x8B39D End of Zip archive
可以看到有zip之类的文件在里面,所以直接利用binwalk提取,
binwalk -e
图片高度
一般这类的图片都会有明显的提示,包括但不限于箭头指向图片外,图片看上去不完整等。
根据对应文件种类找到其高度位进行修改。
- png文件,
多图层隐写
最牛神器 zsteg毁天灭地
隐写术一大神器:stegsolve
LSB隐写
- 如果上文测试找不到flag的话,可以使用stegsolve打开文件,然后点击左右翻动的按钮,可能会出现flag。
- 提取低位信息,一般都藏在0,1,2这些低位里面,在软件功能选项中查看Analyse→Data Extract,逐个调试。