隐写术小知识get!

2018年3月28日 2 条评论 572 次阅读 1 人点赞
  • 2018年3月28日,更新图片、压缩包隐写。
  • 2018年4月16日,更新音频隐写外加Brainfuck图片隐写。
  • 在以后的学习过程中会慢慢更新其他的隐写。

在CTF竞赛中隐写术一般考察的形式较为固定,大概是以下几种:

图片隐写:

图片隐写解题的流程基本已经成为定式:

首先用binwalk查看藏隐写有其他文件,在文件存储路径下,使用以下命令:

binwalk 文件名称

很明显藏有zip压缩包,使用-e参数可以提取出压缩包,此外还有--dd参数,用来提取指定格式文件。

如果发现图片没有藏文件呢,就考虑图片通道查看器

这里还有一款专门针对JPEG的工具

基本针对图片隐写就是这三个思路。

更新一种挺神奇的图片隐写:Brainfuck

题目链接:http://www.shiyanbar.com/ctf/1821

题目:Brainfuck

提示:图片很诡异

拿到题目之后只有一张图片,习惯性的binwalk、stegsolve来一通,竟然没有任何结果,随意搜索了一下题目,发现了Brainfuck这种神奇的加密方式,需要通过bftools工具进行解密,搜索了半天找不到工具,后来在铁三群里从一位大佬手里拿到了这个工具,说回工具的用法,如下:

bftools.exe decode braincopter doge.jpg --output --dogeout.jpg

doge.jpg图片放入文件夹,第一条命令过后,生成--dogeout.jpg

bftools.exe run --dogeout.jpg

第二条命令从--dogeout.jpg读取隐藏信息

将读取出的信息拿去base64解密即可。

压缩包隐写:

首先拿到的压缩包一般都是显示加密或者显示损坏的,我们就要对其进行解密或者修复来将其打开。

显示加密的情况一般有两种,一是真的加密了,二是进行了伪加密。

一般那些提供了关于密码内容的提示的压缩包是真的加密了,例如提供了密码长度或字符类型等相关信息的情况,以及提供了部分压缩包内文件的情况,都是可以尝试通过爆破方式来进行解密的,这里用来爆破的工具叫:Ziperello

爆破的各种参数可以自己进行设置。

对于提供了部分内压缩包文件的情况,可以使用已知明文攻击进行解密,使用软件archpr(推荐4.5.3版本)

将已知文件压缩成rar格式,推荐使用winrar,其他压缩软件很容易出错,点击开始后软件就会自动分析,分析完成后将压缩包另存为没有加密的压缩包,打开即可看见加密的文件。

对于伪加密的压缩包,实际为并没有经过密码加密但是打开却需要输入密码,一般是文件头损坏,我们可以通过HxD打开进行文件头修复,常见的文件头可以通过百度搜索到。

对于显示损坏的压缩包,可以通过专门的软件进行修复:

音频隐写:

音频隐写题目大概两类,一是使用Audacity查看音频波形,大多为长短相交的波形。如下图:

学习计算机的应该对二进制十分敏感,很容易能猜到上下波动代表着1和0,将其进行转换成二进制形式,如下:

01100010 01100001 01101011 01100100 01101111 01110010

二进制转换为文本:

以上为一类隐写,另外一类就要在文件本身做文章了。

我们拿到的音频文件就是正常的一段音频,使用Audacity也看不到任何有规律的波形,这是我们就可以考虑文件本身藏有东西,这里用到一款工具——mp3stego,我们可以将音频文件丢进工具目录里,然后命令行cd进工具目录,使用以下命令:

decode.exe -X -P 密码 加密音频

这里的密码可能会在这道题的别的地方有提示,加密音频就替换为音频文件的名字。

回车之后不出意外在工具目录会多出一个TXT文件,这就是音频文件所隐写的东西。

梦呓233

时常抽风的半文艺半理工小青年

文章评论(2)

  • ImAngie

    其实DOS命令也挺好用

    2018年5月11日
    • 梦呓233

      @ImAngie 对啊,习惯之后效率很高

      2018年5月11日