CTF Stegano练习之隐写初探

今天要介绍的是CTF练习中的Stegano隐写题型。做隐写题的时候,工具是很重要的,接下来介绍一些工具。

1、TrID

TrID是一款根据文件二进制数据特征进行判断的文件类型识别工具。虽然也有类似的文件类型识别工具,但是大多数都是使用硬编码的识别规则,而TrID则没有固定的匹配规则,TrID具有灵活的可扩展性,可以通过训练来进行文件类型的快速识别。

TrID通过附加的文件类型指纹数据库来进行匹配,可用于取证分析、未知文件识别等用途。

2、Audacity

Audacity是一款自由且免费的音频编辑器和录音器。它是在Linux下发展起来的,有着傻瓜式的操作界面和专业的音频处理效果。使用Audacity可以帮助我们快速解决CTF中一些音频相关的题目。

这个实验还需要了解一些摩尔斯电码。

摩尔斯电码(Morse Code)是一种时通时断的信号代码,通过不同的排列顺序来表达不同的英文字母、数字和标点符号。是由美国人萨缪尔·摩尔斯在1836年发明。

摩斯码使用点(.)和横线(-)来表示各种字符,我们只需要知道某一串字符是摩斯码,然后使用解码工具进行解码即可。

实验内容和步骤

本次实验链接地址:《CTF Stegano练习之隐写1》

来看实验描述:在实验主机上的C:\Stegano\1目录下为本题所提供的文件,请对这些文件进行分析,找到一个flag{XXXX}形式的Flag字符串。

来看实验打开cmd命令行,切换到C:\Stegano\1目录,然后使用TrID对其进行文件类型识别,如图所示:

TrID对该文件的识别结果为:85.7%的可能性为XZ文件,14.2%的可能性为QuickBasic BSAVE文件。我们通过搜索引擎可以了解到XZ文件是一种压缩文件,因此可以使用7Zip进行解压(实验机器已经安装7Zip,右键选择通过7Zip解压即可)。

解压之后我们得到新文件hello_forensics~,仍然是一个没有扩展名的文件,我们再次使用TrID进行识别,得到的结果如图所示:

TrID认为这是一个OGG文件。OGG是一种音频文件格式,大家如果平时有留意的话,在手机上一定见过这样的文件,许多手机内置的音效就是以OGG文件格式存在的。

接下来就是要用到我之前提到的Audacity,使用桌面上的Audacity工具打开我们提取出来的OGG文件,默认会显示音频文件左右两个声道的波形图,如图所示:

按住键盘左下角的Ctrl按键,同时滚动鼠标滚轮即可对波形图进行放大或者缩小操作,这里我们将波形图进行放大,然后播放OGG文件,我们发现在中间的某一个区间内夹杂着一些“滴滴”的声音,实际上这里是播放的摩斯码,通过对声道的波形图观察,可以看到如下的特征。

在Audacity中,将波形图放得越大,就越能明显的看到对应的摩斯码特征,通过对声音波形图的分析,我们可以得到摩斯码(摩斯码从第18秒开始播放,如果两段“滴滴”声之间的时间间隔在7~8秒左右,则认为是两个不同的摩斯码之间的分隔,用空格表示,如果两段“滴滴”声之间的时间间隔在2~3秒左右,则认为是同一个摩斯码的内容)。分析后得到的摩斯码为“.- ... - .- .-. .. ... -... --- .- .-. -.”,打开桌面上的JPK,将摩斯码输入之后,依次选择菜单项“Ascii”、“Decode”、“DeMorse”,得到字符串ASTARISBOARN。

通过实验步得到字符串ASTARISBOARN,将其当做密码对压缩包进行解压测试,发现可以成功解压,得到一个PDF文件。这个PDF文件直接看上去似乎没有什么有用的信息,但是对其中的文字进行选择操作的时候,发现页眉和页脚中似乎有一些不可见的文字,如图所示:

这里我们通过Ctrl+A对其中的文本进行全选,然后粘贴到记事本里面去,得到两个可疑的字符串:

VjIweE5HRkdiM3BrUnpGT1UwVndjMWx0Y0ZkalJtd

zJWbTFhYUZkRk5XMVhiVFZYWkZWc1dVMUVNRDA9

我们解密一下,将两个字符串拼接起来后进行Base64解码,得到另一个字符串V20xNGFGb3pkRzFOU0Vwc1ltcFdjRmw2Vm1aaFdFNW1XbTVXZFVsWU1EMD0=,仍然是Base64加密,经过这样的几次Base64解码之后,最后得到字符串flag{f0ren5ic5_is_fun!},这就是题目所要求要找的Flag字符串了。

CTF真是防不胜防,还顺便了解一下摩尔斯电码。这次实验真的是很有意思,解题过程比较简单,但是思路很重要。

(0)

相关推荐

  • CTF|Misc-Crymisc

    前言 最近在学习CTF中MISC类题目的解题技巧,并复盘了今年8月底GACTF比赛中的题目-crymisc,这道题里面包含了MISC题目中经常遇到的考点(文件头类型判断.压缩包文件伪加密.图片藏文件. ...

  • Stegano隐写-流量分析

    CTF套路千千万,今天来看看流量分析. 本次实验题目地址:<CTF Stegano练习之隐写5>. 先来看题,给定的secret文件没有扩展名,我们需要先弄清楚文件的具体格式信息,才好进行 ...

  • Stegano 3个音频隐写

    本次实验地址<CTF Stegano练习之隐写2>. 先看第一类题查看频谱图使用Audacity打开sound1.wav文件. 用Audacity这个工具打开就是因为Audacity提供的 ...

  • 【隐写】开局一张图,啥也看不出

    最近遇到一个CTF题目,上面就一张图片是什么?啥都看不出来.今天来看一下CTF图片隐写题目,在图片里面隐藏一些不为人知的flag呢? 本次实验的地址为:<CTF Stegano练习之隐写6> ...

  • 图片隐写及BinWalk识别隐藏数据

    最近学习了图片隐写与音频隐写,这次来一个组合拳练习练习. 本次实验地址为<CTF Stegano练习之隐写4>. 首先对内嵌文件数据分析打开stego4.jpg文件,图片里面显示了一段文字 ...

  • 图片隐写

    0x1常见隐写类型: [以下题目多来源于各大ctf题库或网站,仅修改了文件名以便于讲解] 1.利用binwalk工具分离图片 2.stegsovle工具的利用 3.txt简单隐写 4.关键字搜索 5. ...

  • 陈大维‖也学商隐写无题(二首)

    (一)无    题 神圣的文学早已沦落风尘 变成了街道拐角处风情万种的娼妓 运气好一点的 或者傍上了大款 做了有钱有势人的小蜜和情人 年老色衰的 骚首弄姿大半天 也勾引不到一个嫖客 多少骄傲的文化人 ...

  • 图像隐写技术简介(Image Steganography)

    翻译:小白 作者:Zbigatron 原文:http://zbigatron.com/image-steganography-an-introduction/ 在这篇文章中,我想介绍一个关于图像隐写技 ...

  • 榴花开处照宫闱——元妃判词隐写杨贵妃

    榴花开处照宫闱--元妃判词隐写杨贵妃 土默热 红楼十二钗之首是元春.元春是皇贵妃,是书中主人公宝玉的大姐.人间大观园是为迎接她"省亲"而建,天上太虚境中的"册子" ...

  • 红豆重歌泪未收 ——论贾宝玉《红豆曲》隐写洪昇梨园梦

    红豆重歌泪未收 --论贾宝玉<红豆曲>隐写洪昇梨园梦 土默热 滴不尽相思血泪抛红豆,开不完春柳春花满画楼: 睡不稳纱窗风雨黄昏后,忘不了新愁与旧愁: 咽不下玉粒金莼噎满喉,照不见菱花镜里形 ...