题目链接:
http://www.shiyanbar.com/ctf/1904
分析:
下载题目中提供的文件(white.zip)
文件名:white.zip
白色的,会有什么用呢?
压缩包,第一反应解压试试
说干就干,解压到white文件夹
Paste_Image.png
发现其中包含了两个文件:
1.password.png(不用说,这里面肯定有好东西)
2.zip.zip(压缩包?打开瞧瞧)
先打开zip.zip看看
Paste_Image.png
啊,需要密码,哈哈,这下思路就比较清晰了
应该是从password.png中得到一个密码
然后使用这个密码解压zip.zip
flag应该就藏在zip.zip中了
好的,我们来分析这个png文件
首先看属性
Paste_Image.png
并无有用信息
UE进行16进制分析
Paste_Image.png
Paste_Image.png
文件头/文件尾都没有发现异常
这时,就应该知道,我们的信息应该不是隐藏在文件头或者文件尾中
信息应该就在图像数据中
打开Stegsolve载入图片进行通道分析
Paste_Image.png
发现Key,这个应该就是zip文件的解压密码,试一下:
Key{forensics_is_fun}
解压成功
看看里面都有什么文件
Paste_Image.png
只有一个gif文件,但是貌似并没有预览出来,说明这个文件可能有损坏的情况
我们还是按照相同的思路
先查看属性
Paste_Image.png
无有用信息,然后UE进行16进制分析:
查看文件头:
Paste_Image.png
并不是正常的gif的文件头,应该是文件头被破坏,应该进行修复
各种文件文件头信息汇总
gif格式的文件头为:GIF8
因此我们需要在文件开头处添加:GIF8
添加好之后我们再打开看看
a.gif
然后发现会闪动跳过一些字符,当然肯定就是flag了,用ps或者其他的图片处理软件
查看每一帧,写出来就好了
Paste_Image.png
点击保存所有帧即可
Paste_Image.png
答案:
CTF{AS3X}
知识点:
文件头
图像通道
GIF文件头简单修复
GIF分解所有帧
使用UE进行16进制编辑
