这是我遇见过最蛇皮的隐写。。。

题目来源不透露

题目文件: ctf.rar

Jng

解压后得到一张图片

{Mpng

拖进parrot,使用foremost分离

得到一个压缩包,解压得到图片 1.png
Vng

对这个1.png前前后后试了几百种隐写套路

然后。。

陷入沉思。。。。


很多天之后


使用binwalk -e再次分离ctf.png

得到一组新的分离数据。。

![9H4]5_CR]0MP}244%FTW2]O.png](/images/记一道蛇皮隐写题/eda1a29a8d7258a1d93bc398f972acb9.png)

分离出来后的文件内容明显比原文件要大

png

可(受)能(教)是ntfs数据流隐写。。

随后百度了几个ntfs数据流隐写查看工具,对上面分离出来的文件夹进行各种扫描,无果

陷入沉思。。。。

后来在某表姐指导下,才得知要去扫ctf.png所在的第一层目录,而不是分离后的目录

然后又各种扫,无果

然后想起一段话

虚拟机装上winrar,重新解压ctf.rar

要右键选择解压到/ctf这个选项

解压后的文件结构是

1
2
3
4
5
|---ctf.rar
|---ctf
|ctf
|ctf.png

然后使用工具扫描第一个ctf文件夹

!!!!!!

导出

得到一张新图片

![X}]KU)P~UI3DYQS)A`(89DM.png](/images/记一道蛇皮隐写题/8c3762e63201e569474eebec47c25228.png)

和最开始分离出的图片XOR

得到flag

用一个字总结一下

艹!


2017-10-21
Contents

⬆︎TOP