记一道蛇皮隐写题

这是我遇见过最蛇皮的隐写。。。

题目来源不透露

题目文件: ctf.rar

![JCY%}[[email protected]][email protected]}N$J.png

解压后得到一张图片

{MF2KL$J_7`~K974{A736N2.png

拖进parrot,使用foremost分离

得到一个压缩包,解压得到图片 1.png
VU{Y%(RHU)Z`26UC$)XTVX0.png

对这个1.png前前后后试了几百种隐写套路

然后。。

陷入沉思。。。。


很多天之后


使用binwalk -e再次分离ctf.png

得到一组新的分离数据。。

9H4]5_CR]0MP}244%FTW2]O.png

分离出来后的文件内容明显比原文件要大

_%N~TKF}M{HH}K9`62%2BET.png

可(受)能(教)是ntfs数据流隐写。。

随后百度了几个ntfs数据流隐写查看工具,对上面分离出来的文件夹进行各种扫描,无果

陷入沉思。。。。

后来在某表姐指导下,才得知要去扫ctf.png所在的第一层目录,而不是分离后的目录

然后又各种扫,无果

然后想起一段话

%M9KYI%WAHR3PLJKY0HHO.png

虚拟机装上winrar,重新解压ctf.rar

要右键选择解压到/ctf这个选项

解压后的文件结构是

|---ctf.rar
|---ctf
     |ctf
        |ctf.png

然后使用工具扫描第一个ctf文件夹

{$Q7DQJ1VV6KXR219L$WK.png

!!!!!!

导出

得到一张新图片

X}]KU)P~UI3DYQS)A`(89DM.png

和最开始分离出的图片XOR

得到flag

L40ER``HBQ0`M449_G5G{5B.png

用一个字总结一下

艹!


*转载请注明来自AresX’s Blog

本博客采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议(CC BY-NC-SA 4.0) 发布.转载请注明出处
本文链接:https://ares-x.com/2017/10/21/记一道蛇皮隐写题/