挑点有必要记录的
简单的题目解释比较繁琐,可以只看最后总结。
1.金三胖
PotPlayer可以打开gif,快捷键下一帧 F,上一帧 D
2.二维码
除了使用010editor打开,人眼观察之外。使用Kali自带工具binwalk,查看并分离文件。
1 | #在root权限下 |
3.大白
有趣的是这种题目在Linux环境中做比在Windows环境中要难,Windows自带的图片查看器,并不管CRC校验码是否正确,于是在Linux环境中,不适合做修改png高和宽这种操作。
png格式描述如下:
1.png的文件头:8个字节 89 50 4E 47 0D 0A 1A 0A 为 png的文件头(固定)
2.4个字节 00 00 00 0D (即为十进制的13)代表头部数据块的长度为13(固定)
3.4个字节 49 48 44 52 (即为ASCII码的IHDR)是文件头数据块的标示(IDCH)(固定)
4.13位数据块(IHDR)
前四个字节代表该图片的宽
后四个字节代表该图片的高
后五个字节依次为: Bit depth、ColorType、 Compression method、 Filter method、Interlace method
(可变)5.剩余四字节为该png的CRC检验码,由从IDCH到THDR的十七位字节进行CRC-32计算得到。(可变)
4.LSB
使用StegSolve打开文件,观察各通道图片情况,发现rgb的最低位有异常。截取最低位Save Bin即可得到二维码。
LSB通常由两种形式,一是隐写图片等文件,二是隐写文字。
5.zip伪加密
本来无密码的zip的文件头和文件目录区的全局加密方式标记00 00被修改。010editor提供的信息可以快速定位到这些位置。
ZipCenOp.jar可对此类文件进行修复。
6.wireshark
http包含的未加密payload
tcp协议SYN ACK携带的data
还原通过http上传的文件(把保存格式修改成raw)
7.爱因斯坦
千万不要忽视文件属性。
8.阶段性总结
对文件开头的魔数要敏感。对文件的结构需要了解。
图片类
png通常搭配LSB,jpg通常搭配拼接。
压缩类
注意伪加密。
检查顺序
先检查文件属性,再使用010editor观察,没观察出来,png优先进行StegSolve检查,zip题目若无提示优先考虑伪加密,之后没头绪再丢进Kali使用binwalk。