这是我遇见过最蛇皮的隐写。。。

题目来源不透露

题目文件: ctf.rar

![JCY%}[[email protected]][email protected]}N$J.png

解压后得到一张图片

![{MF2KL$J_7`~K974{A736N2.png](https://i.loli.net/2017/10/21/59ea21d145dd4.png)

拖进parrot,使用foremost分离

得到一个压缩包,解压得到图片 1.png
![VU{Y%(RHU)Z`26UC$)XTVX0.png](https://i.loli.net/2017/10/21/59ea21d85cc38.png)

对这个1.png前前后后试了几百种隐写套路

然后。。

陷入沉思。。。。


很多天之后


使用binwalk -e再次分离ctf.png

得到一组新的分离数据。。

![9H4]5_CR]0MP}244%FTW2]O.png](https://i.loli.net/2017/10/21/59ea21d173964.png)

分离出来后的文件内容明显比原文件要大

![_%N~TKF}M{HH}K9`62%2BET.png](https://i.loli.net/2017/10/21/59ea21d12b3b1.png)

可(受)能(教)是ntfs数据流隐写。。

随后百度了几个ntfs数据流隐写查看工具,对上面分离出来的文件夹进行各种扫描,无果

陷入沉思。。。。

后来在某表姐指导下,才得知要去扫ctf.png所在的第一层目录,而不是分离后的目录

然后又各种扫,无果

然后想起一段话

%M9KYI%WAHR3PLJKY0HHO.png

虚拟机装上winrar,重新解压ctf.rar

要右键选择解压到/ctf这个选项

解压后的文件结构是

|---ctf.rar
|---ctf
     |ctf
        |ctf.png

然后使用工具扫描第一个ctf文件夹

{$Q7DQJ1VV6KXR219L$WK.png

!!!!!!

导出

得到一张新图片

![X}]KU)P~UI3DYQS)A`(89DM.png](https://i.loli.net/2017/10/21/59ea21dd76caf.png)

和最开始分离出的图片XOR

得到flag

![L40ER``HBQ0`M449_G5G{5B.png](https://i.loli.net/2017/10/21/59ea21d3da11e.png)

用一个字总结一下

艹!


2017-10-21
Contents

⬆︎TOP