| 【CTF】图片隐写术 · 修复被修改尺寸的PNG图片 | 您所在的位置:网站首页 › 文件格式错乱怎么修复正常 › 【CTF】图片隐写术 · 修复被修改尺寸的PNG图片 |
【CTF】图片隐写术 · 修复被修改尺寸的PNG图片
|
今天我们想来介绍一下关于图片隐写相关处理,以及修复被修改尺寸的PNG图片。 关于PNG图片的相关处理,是CTF Misc图片隐写术中极为基础的一项操作,笔者这里是想要提一些做题过程中发现的小技巧。 ✨CTF图片处理基本套路 各种图片类型比较常见有PNG图片,JPG图片,GIF图片。 其中GIF图片通常涉及逐帧分离,后续操作等等。JPG、PNG图片通常修改图片尺寸,图片隐写术等等。后续我们要重点提的就是修复被修改尺寸的PNG图片。 检查详细信息很多时候重要信息就隐藏在图片的详细信息内,有可能是后续解题步骤所需信息或者Hint,例如可能是后续隐写压缩文件的解压密码等等,所以睁大眼睛仔细看哦。 十六进制编辑器处理万物皆文件,都可以用十六进制编辑器打开,这里笔者常用的十六进制编辑器是“010 Editor”,当然其他十六进制编辑器例如“WinHex”也是可以的。十六进制编辑器打开后仔细检查,可以ASCII搜索“flag”、“key”或者其他题目提示信息。 kali分析文件kali中file命令、binwalk命令都可以用来分析文件 其中如下命令可以用来分离隐写文件 binwalk -e filenameforemost命令也可以用来分离隐写文件,有些binwalk无法分离的可以使用foremost命令尝试。 foremost filename//反正笔者一般是binwalk分析文件,有隐写就直接用foremost分离文件。 如下图就分离出来隐写的两张图片和一个zip压缩包
当然其他还有zsteg工具、stegdetect工具、dd命令、手动分离等等。 神器 Stegsolvestegsolve真可谓神器,可以用来帧查看,切换颜色通道,处理LSB隐写等等。
File Format:文件格式 Data Extract:数据提取(常用来处理LSB隐写) Steregram Solve:立体试图 可以左右控制偏移 Frame Browser:帧浏览器 Image Combiner:图像合并(如果题目给出多张图片,可以将两张图片进行XOR、OR、AND等操作,有时候两张图片异或运算后神奇地出现了一个二维码!) 这里给出一个stegsolve modifed version Github链接 https://github.com/Giotino/stegsolve //原版一般主流工具包中都有 网络上也比较容易找到 脑洞大开CTF就是这样,50%的实力和50%的灵感,许多时候灵感是非常重要的。 ✨修复被修改尺寸的PNG图片再次放上blog的头图
参考:https://www.cnblogs.com/lidabo/p/3701197.html CRC循环冗余检测比较常用,笔者在计算机网络中就有学到。 这里我们重点提一下文件头之后的数据块
就是说一张PNG图片第17个字节起的8个字节就表示了图片的宽度高度信息。 那么我们有什么方法可以判断一张PNG图片的尺寸被修改了呢? //笔者在写blog的时候发现被修改尺寸的PNG图片在Typora中无法预览出图片,而是以markdown链接的形式,这算是个新发现吧。 IrfanviewIrfanView是适用于Windows XP,Vista,7、8和10的快速,紧凑和创新的FREEWARE(非商业用途)图形查看器。 这是笔者的默认图片查看器,主要是因为启动快,软件体积小,支持保存格式多等等。笔者也是在做题过程中发现,如果PNG图片被修改,用Irfanview打开时会有报错提示。 //win10的照片(系统自带的照片查看器)打开被修改尺寸的图片是不会有报错提示的。
TweakPNG是用于检查和修改PNG图像文件的低级实用程序。它支持Windows XP及更高版本。为了充分利用它,您至少必须对PNG文件的内部格式有所了解。有关PNG的信息,请参见 PNG主页。 或者可访问该地址下载软件:http://entropymine.com/jason/tweakpng/ 当使用TweakPNg打开被修改尺寸或者是其他信息的PNG图片时,会有提示。
提示CRC错误。 这里有两种可能 1)图片CRC被修改可以尝试用十六进制编辑器打开图片,修改CRC。 2)图片尺寸被修改这时候就要用十六进制编辑器修改图片尺寸了。 Python脚本计算正确的尺寸 import os import binascii import struct crcbp = open("xxx.png", "rb").read() #打开图片 for i in range(2000): for j in range(2000): data = crcbp[12:16] + \ struct.pack('>i', i)+struct.pack('>i', j)+crcbp[24:29] crc32 = binascii.crc32(data) & 0xffffffff if(crc32 == 0x38162a34): #图片当前CRC print(i, j) print('hex:', hex(i), hex(j))这里的脚本是在一个非常火的CTF培训课程中了解到的 //原脚本长宽限制0~1023 笔者这里将其修改为2000防止图片尺寸过大没有遍历到 链接:https://www.bilibili.com/video/BV1Kt411j7r7 使用时修改脚本中的打开图片名称和图片当前CRC 然后在图片所在目录运行Python脚本 (或者填上要计算的图片的绝对路径,运行Python脚本) 我们这里修改后的脚本如下
然后运行脚本可得正确尺寸
然后我们再用十六进制编辑器复原图片尺寸
当当当!就复原PNG图片啦! 顺便也验证了笔者之前的猜想,PNG图片修改为原尺寸后Irfanview打开就不会报错。
233图是笔者自己P的 顺便安利《德鲁纳酒店》、《我的大叔》真的好看!!(跑题了...) ✨碎碎念当然这只是图片隐写术中很小的一个知识点,但是或许可以拿去逗逗同学(?) 实战中一般笔者Irfanview打开如果有报错提示(表明PNG图片尺寸被修改),一般随缘修改下尺寸就行了,一般不会用Python脚本去爆破原始尺寸,解题速度要紧。 ⭐转载请注明出处 本文作者:双份浓缩馥芮白 原文链接:https://www.cnblogs.com/Flat-White/p/13515090.html 版权所有,如需转载请注明出处。 |
【本文地址】