Misc 学习（三） - 隐写分析：PNG 图片隐写

在上一期，我主要讲了讲自己对于（查了下W3C标准，其实是PNG图片在压缩的时候会在最后一个块的标记位标明这是最后一个数据块）。所以如果某一块没有满但后面却还有 IDAT 块则说明后面的块是“假”的。

我们可以用 pngcheck -v [文件名] 去查看PNG文件数据块信息，然后利用 python zlib 解压多余IDAT块的内容，此时注意剔除长度、数据块类型及末尾的CRC校验值。

import zlib
import binascii
IDAT = " ".decode('hex')	#双引号中填IDAT数据
result = binascii.hexlify(zlib.decompress(IDAT))
print(result)

例题

找了半天没找齐合适的例题，自己写了一个，大家凑合做

例题链接：https://pan.baidu.com/s/15xDrjIPRX06ygRxhPZiA8Q 提取码：6666

大家可以自己先尝试一下，一共有4个flag（有两个flag1，我打错了），如果有困难再去看下面的题解。

题解

日常先打开编辑器看一下，没发现明显问题。枚举一波，先试试 LSB 隐写，打开 Stegsolve，查看不同轨道，发现在Red/Green/Blue plane 0的上方均有明显隐写痕迹（那一条奇怪的黑白码）。

打开 Stegsolve --> Analyse --> Data Extract ，选中那三个有痕迹的轨道，先点 Preview，确实有PNG文件藏在里面，点击 Sava Bin 保存文件为 1.png。（ Stegsolve 具体怎么用可能有缘写~，现在就这样用也差不多）

打开 1.png，是个二维码，用 QR Reserch 扫描得到 Flag1。

还剩下3个 flag，把图片扔到 Kali Linux 里，发现图片无法查看，说明 IHDR 被篡改，用上面的脚本爆破 IHDR 得到宽高。

用 Winhex 打开，找到 IHDR 中的宽高，更改一下（上面的“\x00”代表一个字节，第四个是符号是因为他刚好属于可打印字节，把它打到右边就行），保存，确定更新。

打开图片，看到 flag1（其实是 flag3 ，打错了）。

还有两个 flag，我们把更改过的图片扔到 Kali Linux 里，惊奇地发现（真的很惊奇，以前没见过没这种情况）还是没有预览，但是在图片查看器里可以正常显示，在火狐浏览器中无法显示却不报错，用 binwalk 分析一下，有个 zlib 文件，只能说很正常，没啥问题，再用 pngcheck 检查一下，发现异常，第二个 IDAT 块只有9895的长度，在没有满的情况一般来说是不会出现下一个块的，说明最后一个块是“假块”（那个 CRC ERROR 请忽略，只是我出题时懒得算CRC而已，真正做题是不会给你留这个 bug 的）。

我们重新用 Winhex 打开图片，搜索“IDAT”找到最后一个 IDAT 块，把里面的数据（只要数据，不要长度位、“IDAT”和那4位 CRC ）复制到新文件里（CRC 是我瞎写的，所以上面会报错），保存成1.txt（没错，为了偷懒我压根没压缩成 zlib，你用 binwalk 是分离不出来的）。

得到一串奇葩文字，搜索得知这是与佛论禅加密。

打开在线解密工具，解密得到 flag4。

最后还剩一个 flag，还记得我们扫出 flag1 的那个二维码吗？我们用 binwalk -e 扫描提取，发现能检测到 zip 尾，但是提取不出来。。。改用 foremost 提取，得到一个 zip 文件，打开看到里面有一个名字乱码的文本文件（无语），打开又是一堆迷惑代码。

这回是符号所以不太好搜索，只能靠经验得知这是 Brainfuck 代码，利用在线解密工具“Brainfuck to text”解密得到 flag2。

顺便说一下为什么“我们刚才用 binwalk -e 扫描提取，发现能检测到 zip 尾，但是却提取不出来”，用 WinHex 打开，发现在PNG文件尾与ZIP文件尾之间有“脏东西”，导致 binwalk 找不到文件头提取失败。（说实话，这个地方还能再出个 flag，我上一期说的两个同类型文件 夹在一块也是这种情况，如果你们遇到类似的情况也要注意看一下头尾之间有没有藏信息）

补充题：[BUUCTF] Flag （不是很明显，需要仔细看）

本期就先说到这里，主要讲了讲隐写分析中的 PNG 图片隐写，写的不太好的地方还请包涵并提出您宝贵的建议，我们下期再见。(顺便说一下，我发现在Winhex 里，“粘贴”是插入，“写入”是覆盖后面的)

参考资料

[1] CTF WIKI：https://ctf-wiki.org/misc/introduction/

[2] GAMERES：https://dev.gameres.com/Program/Visual/Other/PNGFormat.htm

[3] W3C 规范：https://www.w3.org/TR/2003/REC-PNG-20031110/

以上内容仅供参考，水平不高，大佬见笑。

作者：CHTXRT

出处：https://www.cnblogs.com/chtxrt/

本文使用「CC BY-ND 4.0」创作共享协议，转载请在文章明显位置注明作者及出处。