最近學習了圖片隱寫與音頻隱寫,這次來一個組合拳練習練習。
本次實驗地址爲《CTF Stegano練習之隱寫4》。
首先對內嵌文件數據分析打開stego4.jpg文件,圖片裏面顯示了一段文字MUSTNOTHACK,其他似乎沒有什麼有用的信息。
我們用binwalk看一下執行python binwalk命令來對stego4.jpg文件進行處理,如圖所示:
可以看到裏面多了一個7-zip,這說明軟件分析出來這個圖片裏面還有一個壓縮包。那我們怎麼提取出來呢?
從BinWalk的分析結果可以看出,J其中RAR壓縮包的文件偏移地址開始與0x1B8DD,這裏我們使用C32Asm將從0x1B8DD開始的所有數據提取出來。打開桌面上的C32Asm工具,選擇“文件”、“打開十六進制文件”載入C:\Stegano\4\stego4.jpg文件,然後右鍵選擇“定義選擇塊”,填入數據塊的起始地址爲0x1B8DD,結束地址選擇“文件結尾”,單擊確定就選中數據塊了,右鍵複製數據,然後新建一個十六進制文件,將原有的數據替換爲複製的數據,保存即可得到壓縮包文件。操作過程如圖所示:
這樣就得到了一個RAR壓縮包文件了。
這個壓縮包裏面解壓出來的flag.7z居然需要密碼,p3文件也被隱藏起來了,在cmd中通過dir /AH命令就可以看到,使用attrib -H DO_NOT_LOOKING_HERE.mp3命令去除MP3文件的隱藏屬性,如下圖所示:
播放MP3文件並不能聽到什麼有用的信息,我們嘗試使用MP3Stego檢查文件中使用隱藏了數據,使用MP3Stego的時候需要指定一個密碼,這裏使用原始圖片中顯示的MUSTNOTHACK字符串。打開cmd命令提示符,首先切換到C:\tools\MP3Stego\目錄,然後執行命令MP3StegoDecode.exe -P MUSTNOTHACK -X C:\Stegano\4\stego\DO_NOT_LOOKING_HERE.mp3,如圖所示:
之後我們提取出來一個txt文件,文件內容爲INEVERASKEDABOUTTHIS!
把文本內容當成壓縮密碼輸入,得到Flag爲VERYEASYSTEGO,即題目要求我們所要尋找的字符串。