MISC练习

链接:https://pan.baidu.com/s/119iNN8y4ofp9OeERHChhtQ

提取码:u9nw

AsianCheetah #

使用stegsolve打开图片,点击左右箭头后并没有什么发现,

这个图片其实LSB隐写

首先选一个颜色的最低为,然后选择LSB 进行preview后,没有什么发现

当选择蓝色blue最低位时找到flag

二、使用zsteg,,将所有的排列组合直接显示出来,只针对PNG和BMP图片

现在kali中安装zsteg,

然后 zsteg + 图片文件

dandelion #

使用stegsolve打开图片

点按左右两个箭头,会发现一个二维码

然后使用收集或者电脑扫码工具扫码

扫码后是一串bese32加密字符串

MZWGCZ27LBSHW2CTNBPWG5DGHJKTE4ZQL5RW63ZRPU======

然后base32解码工具解码

flagtxt #

有90000个像素点,文件中只有0和255,然后把图片画出来

使用脚本画成后是一个二维码

扫码后以一个base32加密的字符串,解密后就是flag

ONYXE6LSIVXF6ZTUOZTXWRRRIRPWCZLWORIGCLJQG56Q====

haha #

首先把haha文件拖到winhex中,会发现大量的0

因为这是一块完整的磁盘,就要把这块磁盘进行挂载

Winhex下用文件刻画技术,相当于把文件中的文件都修复出来

选择specialist->interpret image file as disk,意思就是把这个磁盘镜像当作磁盘进行挂载

点进去之后就是磁盘刻画的结果

还有一些X开头的文件,意思就是可能修复没有成功的,只要修复成功的都可以看到文件的大小。

接下来把恢复的字节进行提取

把数字开头的文件都选上,选择第一个按住shift选择最后一个,X开头的文件也没有影响

然后右键->选择第三个recover/copy,选择一个路径点OK,其他的不用修改就可以把所有的文件提取出来


导出的结果就是从0——253,每个文件都是一个字节,然后写一个简单的python脚本,都是可打印字符,把0-253的内容拼接起来,执行python,查看flag.

或者将恢复的文件夹复制到Kali,使用cat *命令查看所有文件

minified #

首先使用notepad++或者010editor打开图片,没有发现什么字符串

然后放到setgsolve里面,然后查看分离图层,

然后看到alpha通道是有东西的,因为一般alpha是0白色的,这个图片alpha通道有数据,

然后再红色通道最底层看到全黑的没有数据,其他通道的内容正常

然后结合以上两点,把 G B A最低为都提取出来,

比如:首先点到alpha plane 0,然后选择file->save as 保存为alpha.bmp一个位图格式

然后依次把B0 G0提取出来,保存为.bmp文件,红色最低为都是黑色的,没有意义

现在有三种图片,alpha、B0、G0,然后最常见的做法是两两异或

比如打开alpha,然后和B0进行异或,打开alpha后,选择analyse->image combiner

然后选择B0.bmp,查看图层后没有什么发现

然后再选择G0进行合并,找到flag

welc0me #

利用记事本、notepad++、strings或者010editor打开,将最后的base64字符串进行解码

1

2

3

双色块 #

先用010editor打开图片,然后再最后部分发现里面包含一种PNG的图片

把PNG图片提取出来,删除PNG前面的数据,另存为,提取出的png图片是这样的

然后对GIF进行分离,

可以使用gifsplit.py脚本

分离了576个png图片

或者使用工具,工具可能更好用,gifsplitter

分离出的图片和脚本分离的一样,只是扩展名不一样

一共又576张图片,每个图片位240x240,第一行跑完需要24张图片,所以每个小方块宽高都是10个像素点。

双色快分别由绿色和紫色两个颜色,可以把两种颜色当坐0和1

使用脚本判断像素块的值判断为0还是1

运行脚本后有一串密文

应该就是需要用之前提取的PNG图片中的key进行解密

关键就是判断密文是什么加密方式

前面的密文像base64,

密钥的长度是9个字节,可能是DES,以为DES是八个一组,这个密钥可能多了一位

不可能是AES,因为密钥最少是是个字节

先试一下DES,获取flag

虚幻 #

首先用file 命令查看图片确实是一个PNG的头部

然后用一下strings 1.png,strings打印出一些字符串

Png图片格式的头部和尾部分别是IHDR、IEND,有好几个IHDR IEND,说明这个文件不止一张图片

然后可以用binwalk检测,有9张图片

然后使用foremost提取,会生成一个output文件夹

里面有一个png的文件夹,打开后就是包含的九张图片

如果使用stegsolve打开这几张图片,都是彩色的,没有其他信息

其实是三个文件拼成一行,一共平常三行,使用美图秀秀或者PS都可以

然后将拼好的三个图片拼成一个大图,

拼好的大图是彩色的,然后再用setgsovle打开,将RGB的每个最高位提取出来,图片是一样的,然后进行反色,很像一个二维码,其实是汉信码,将四个角补全后,使用在线扫码工具扫码。

隐写3 #

Binwalk和foremost是kali自带两个工具

Binwalk是用来固件分析的,判断文件里面有什么,是不是有其他文件

在0x29偏移位置有一个zlib 格式的压缩数据

如果把检测出的其他文件做提取 使用 binwalk -e,并生成新的文件夹

分别有两个文件,29.zlib就是压缩包

29的大小比29.zlib解压后的后的文件,如果29的大小为0,可能就是解压错误。

然后使用file命令查看29文件,显示为data, 也不知道里面是什么。

只要不认识的文件都可以用binkwalk进行解析,使用binwalk进行解析29

29里面又有一个zlib压缩包,再binwalk -e 29 进行提取,并生成新文件夹

然后使用file命令查看28D28D文件

是一个文本文件,使用cat 命令

504b0304是zip文件的文件头,内容是16进制字符串

使用解码工具解码并生成文件,或者使用winhex

然后对文件进行解压,解压后发现需要解压密码,

将压缩文件再次使用binwalk进行解析

最后是base64字符串,但是也不能解析,其实这就是解压密码

打开压缩文件后得到flag