ctf常见隐写术总结

准备工具:winhex付费版(免费版功能有缺失),Stegsolve,MP3Steno等

ctf常见隐写术总结

简单隐写:

  1. 右键查看图片属性,检查图片简介。
  2. winhex打开,Ctrl+F查找有无flag明文。

文件类型:

给出的文件不一定是它后缀名显示的文件,所以应该先用winhex打开它确认文件种类

  1. JPEG (jpg),文件头:FFD8FF
  2. PNG (png),文件头:89504E47
  3. GIF (gif),文件头:47494638
  4. Windows Bitmap (bmp),文件头:424D
  5. ZIP Archive (zip),文件头:504B0304
  6. RAR Archive (rar),文件头:52617221

    复合文件:

    在kali里面使用binwalk工具即可查看
    如:

    root@kali:~# binwalk ‘/root/桌面/misc1.jpg’

    DECIMAL HEXADECIMAL DESCRIPTION

    -——————————————————————————-
    0 0x0 JPEG image data, EXIF standard
    120xC TIFF image data, little-endian offset of first image directory: 8
    4413190x6BBE7 Zip archive data, encrypted at least v2.0 to extract, compressed size: 90598, uncompressed size: 91905, name: hidden.jpg
    5319570x81DF5 Zip archive data, encrypted at least v2.0 to extract, compressed size: 38092, uncompressed size: 38829, name: logo.png
    5702690x8B39D End of Zip archive

可以看到有zip之类的文件在里面,所以直接利用binwalk提取,

binwalk -e

图片高度

一般这类的图片都会有明显的提示,包括但不限于箭头指向图片外,图片看上去不完整等。
根据对应文件种类找到其高度位进行修改。

  1. png文件,

多图层隐写

最牛神器 zsteg毁天灭地

隐写术一大神器:stegsolve

LSB隐写

  1. 如果上文测试找不到flag的话,可以使用stegsolve打开文件,然后点击左右翻动的按钮,可能会出现flag。
  2. 提取低位信息,一般都藏在0,1,2这些低位里面,在软件功能选项中查看Analyse→Data Extract,逐个调试。