0x01、题目:论剑
0x02、WP
1、右键链接,点击新建标签页打开链接,保存该附件
如下图所示:
2、又开始了图片的隐写套路:
①、打开图片,感觉宽和高有点问题,颜色也没什么
修改宽高得:
②、在010edit内,修改宽高得同时,搜索了504b 0304无果,搜索ffd8ff得到两张图片,看来是一张图里面隐写了一张,我们保存得到:发现图片一样,实则这两张图的宽和高不同,所以说是两张不同图片
我们对该图片也修改宽高得到,没有什么内容,猜测手工截取时候出错了,我们使用foremost原图试试
如下图所示
③、foremost 原图片得,并且修改宽高后得到,结果跟之前一样
如下图所示:
④、既然第二张图片,修改宽高没有结果,我们开始图片隐写的套路
第一步:宽高无果,颜色没啥特别的
第二步:右键,属性,详细信息,没啥特别的
第三步:记事本打开,搜索无果,最后面无果
第四步:010edit打开,搜索无果,最后面无果
第五步:神器打开,无果
⑤、既然如此,我们就转回去最开始的那一张图片:开始套路继续
第一步:高度有问题,成功;颜色没问题
第二步:右键,属性,详细信息,无果
第三步:记事本打开,搜索无果,最下面无果
第四步:010edit打开,搜索无果,最下面无果
仔细找找:中间处有一串二进制字符串
如下图所示:并且发现二进制后面有类似7zip格式压缩包的文件头:38 7B BC AF 27 1C
分析:
此处:38 7B BC AF 27 1C
7zip格式压缩包文件头:37 7A BC AF 27 1C
第五步:我们修改文件头,截取出来,保存为后缀名为7z
如下图所示:
第六步:解压该压缩包,发现需要密码,密码可能与之前的一串二进制字符串有关
如下图所示:
第七步:把二进制字符串转换为ASCII码,解压7z压缩包后,得到一张图片
注意:这张图的宽和高与之前的两张都不一样
如下图所示:
我们修改宽和高后得到:
第八步:把两张图片的字母,合在一起:
第一张:
第二张:
合在一起:发现括号内是十六进制字符串
Not flag{666C61677B6D795F6E616D655F482121487D}hhh
最后我们转换得,flag{my_name_H!!H}
如下图所示:
0x03、Flag
flag{my_name_H!!H}
0x04、注意:
1、放入010edit分析时候,适当时候还要分析中间内容
2、7z格式的压缩包,其十六进制文件头为:37 7A BC AF 27 1C
3、扩展,Rar格式的压缩包,其十六进制文件头为:52 61 72 21
