#題目

StegSolve圖片盲篩

讓我自己檢查這個文件

binwalk 檢查

┌──(kali?kali)-[~/Desktop]
└─$ binwalk hint\ 1.png     DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             PNG image, 1000 x 150, 8-bit/color RGB, non-interlaced
41            0x29            Zlib compressed data, default compression
5984          0x1760          StuffIt Deluxe Segment (data): f+XOzsDjboavwNtZvpjWWtvZsDDOfLiesSbRNPEQBEDgroTMqVBQrNkfVpHAuSOndiiwXODNISCYZMNrRACxiEtphChXksEVNQOWvxQxYQ+uGgxaeBrvcNaMHMEvxaZk
67936         0x10960         StuffIt Deluxe Segment (data): fNuJpDERDdIaOZNai+CoqIa+DTgsEtMVsBjIAYItAPtSMrMkQQIJPpakhwWaIKJotVVBWpqHOMZPAwtWsHBV+rxNMEKgXRV+EilnPOSvdtCJHKAtOTfVAJCpYjIAeRjL
140829        0x2261D         StuffIt Deluxe Segment (data): fvPMpvjpTCfKGkjxG+VxfTVLftfvLraEDKvtDbSdXoZVizG+cCDDPKd+XEiIKqxvAfeWQtgCKXKWXtVAR+eQAegPqiPNp+pOMEPtzzvgtIkTgOWq+JYt+++Ol+KsELcb
187232        0x2DB60         StuffIt Deluxe Segment (data): fjpEVPsHTwrCroGzGnoLwjvYwiAvqxTueAuvuSXJglbrvoIClHJ+RPWsHZpthrYJBXgGdCPPsvfwliCeRnebbHbnSGzxkeoTdhNJRsOETWXaQWPNIHzKEgNwDZlZJVLW
244309        0x3BA55         eCos RTOS string reference: "ecosKtHYsvxIJRanOwiWWNYxriBWYzcOlEVoPxNzpeXReQcaAdVkqGhRkZcMEnYJOklurR+hWscMNYRtRJxXZeQfLcMJhMgZbvkNdPDSgzdLJdwDrbQfPhvOAg+aVLxM"
247553        0x3C701         StuffIt Deluxe Segment (data): fnvX+GIGMKE+aiHXuKDWOHIHMXSLVdoKKosARHnTzsABOjVzWBlkdxdAspDRGIiQJOuTwqpDAtkSxdggQqoazuToGwpdzrJOPQaKGkgEMxcekVKxGcSngWuqgSQBPixz
277260        0x43B0C         COBALT boot rom data (Flat boot rom or file system)
464214        0x71556         StuffIt Deluxe Segment (data): fBEllSs7G4qIOURP8XckU4UJDEVod3DZPnQgkDoAUgAAAFIAAAACZ3NveUF3JUodMBgAIAAAAGQ3YjA1NzliMTdiNWExYmYzYmRlLnR4dADAQlpoOTFBWSZTWaVKfBMA
560653        0x88E0D         StuffIt Deluxe Segment (data): fsjukotKpnhdlvnRikhqnMRtuowkNqvHtZdVjKkaTPQruHrLRKBSLfcsZYqDXJLccOwDcAbMxWdVidQLNZnJhxdLwaKKonxNGBtaJYMAAl+bRfZETIJcKsjpqtzMtgsq
644141        0x9D42D         StuffIt Deluxe Segment (data): fO+rQvhXLctsaRfWOjjSXPehzSbWJrfVsMXrTMrTaQlB+GxbVXDbIxnckrwlhXkiGuOutNLlErRHScpoESJKjwPpulVMRKLVfIZDJJPlORtkodGplaxXTZAIABxiOwC+
658201        0xA0B19         StuffIt Deluxe Segment (data): fpiHlbngTGOa+TlwTCsrudlapwKkHvknJhoZiBJTAMRWIvIIBTBErvBOwtoMQ+REHsupLhpPtPOokWWiYXDEchiifBkHZlsDhcPskCPOjjEHduPEIRDjVjKQYdXdEwgD

命令運行后，binwalk 對 hint 1.png 文件進行了掃描，并列出了它發現的所有可疑數據塊。

輸出分為四個列：

1. DECIMAL: 該數據塊在文件中的起始位置（以十進制字節偏移量表示）。
2. HEXADECIMAL: 該數據塊在文件中的起始位置（以十六進制字節偏移量表示）。
3. DESCRIPTION: 對該數據塊的描述（即 binwalk 認為它是什么）。

掃描結果發現了三個部分：

1. PNG 文件頭 (偏移量 0)

   • 0 0x0 PNG image, 1000 x 150, 8-bit/color RGB, non-interlaced
   • 解釋： 在文件的最開頭（偏移量 0），binwalk 檢測到了一個標準的 PNG 圖像文件頭。這非常正常，因為它本來就是一個 PNG 文件。后面的信息描述了圖片的屬性：寬度 1000 像素，高度 150 像素，8位色RGB顏色，非隔行掃描。

2. Zlib 壓縮數據 (偏移量 41)

   • 41 0x29 Zlib compressed data, default compression
   • 解釋： 在偏移量 41 字節處，發現了經過 Zlib 壓縮的數據。這在一個 PNG 文件中是完全正常的。PNG 圖像格式使用 Zlib 壓縮算法來壓縮其圖像數據（IDAT 塊）。所以這個發現通常不代表隱藏了文件，它只是 PNG 文件本身的一部分。

3. StuffIt 歸檔數據 (偏移量 5984)

   • 5984 0x1760 StuffIt Deluxe Segment (data): f+XOzsDjboavwNtZvpjWWtvZsDDOfLiesSbRNPEQBEDgroTMqVBQrNkfVpHAuSOndiiwXODNISCYZMNrRACxiEtphChXksEVNQOWvxQxYQ+uGgxaeBrvcNaMHMEvxaZk
   • 解釋： 這是最關鍵和可疑的發現。在偏移量 5984（十六進制 0x1760）字節處，binwalk 檢測到了 StuffIt Deluxe Segment 的文件簽名（Magic Bytes）。
   • StuffIt 是一種主要用于 macOS 系統的文件壓縮和歸檔格式（類似于 Windows 上的 ZIP 或 RAR）。
   • 但是 最后那串字符 f+XOzsDjboavwNtZvpjWWtvZsDDOfLiesSbRNPEQBEDgroTMqVBQrNkfVpHAuSOndiiwXODNISCYZMNrRACxiEtphChXksEVNQOWvxQxYQ+uGgxaeBrvcNaMHMEvxaZk看起來是base64的編碼

dd按字節分割文件

┌──(kali?kali)-[~/Desktop]
└─$ dd if=hint\ 1.png of=1 bs=1 skip=5984        
720999+0 records in
720999+0 records out
720999 bytes (721 kB, 704 KiB) copied, 2.04015 s, 353 kB/s

對文件base64解密，然后用binwalk檢查

┌──(kali?kali)-[~/Desktop]
└─$ base64 -d 1 > 2
base64: invalid input┌──(kali?kali)-[~/Desktop]
└─$ binwalk 2      DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
206415        0x3264F         RAR archive data, version 4.x, first volume type: MAIN_HEAD
206495        0x3269F         bzip2 compressed data, block size = 900k
206636        0x3272C         bzip2 compressed data, block size = 900k
206778        0x327BA         bzip2 compressed data, block size = 900k
206917        0x32845         bzip2 compressed data, block size = 900k
207054        0x328CE         bzip2 compressed data, block size = 900k
207191        0x32957         bzip2 compressed data, block size = 900k
207329        0x329E1         bzip2 compressed data, block size = 900k
207471        0x32A6F         bzip2 compressed data, block size = 900k
207606        0x32AF6         bzip2 compressed data, block size = 900k
207743        0x32B7F         bzip2 compressed data, block size = 900k

binwalk把文件全都提取出來

┌──(kali?kali)-[~/Desktop]
└─$ binwalk -e 2DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
206415        0x3264F         RAR archive data, version 4.x, first volume type: MAIN_HEAD
206495        0x3269F         bzip2 compressed data, block size = 900k
206636        0x3272C         bzip2 compressed data, block size = 900k
206778        0x327BA         bzip2 compressed data, block size = 900k
206917        0x32845         bzip2 compressed data, block size = 900k
207054        0x328CE         bzip2 compressed data, block size = 900k
207191        0x32957         bzip2 compressed data, block size = 900k
207329        0x329E1         bzip2 compressed data, block size = 900k
207471        0x32A6F         bzip2 compressed data, block size = 900k

strings對提取的txt文件進行文本搜索

┌──(kali?kali)-[~/Desktop/_2.extracted]
└─$ strings *|grep -i pass                                                 
The password is 'Love & Truth'.

密碼用于解壓壓縮包，找到flag

ZCTF{Nightingale}