南京邮电大学 CTF 两道隐写 Writeup【CTF 比赛】【CTF 题解】

作者：Szrzvdny | 墨是人性

1：图种

1. 首先获取题目图片，如下所示：

1. 将图片文件复制到本地环境，准备后续分析：

1. 使用Binwalk工具对图片进行分析，可发现图片中隐藏了一个zip文件；直接使用foremost工具分离隐藏文件即可：

1. 分离完成后，在output目录中会生成对应的zip文件，解压该文件并点击其中的图片，即可获取flag。

2：丘比 De 龙神

1. 题目文件初始无后缀，先将其复制到本地，手动添加.gif后缀使其正常显示：

1. 使用Binwalk分析该gif文件，发现其中存在zip文件痕迹，但缺少zip文件的头部数据：

1. 查阅资料可知，GIF文件的结束标识为3B 00，因此使用C32ASM（或其他十六进制编辑器）打开文件，查找GIF的结束位置：

注：此处文件中出现 “Exp?love??”，结合解题时间（520 熬夜至 521），后续可利用 “love” 相关信息突破。

1. 已知ZIP文件的头部数据格式，如下所示：

1. 观察到文件中的 “Love” 字符串可用于填充ZIP头部缺失的数据，直接在十六进制编辑器中替换对应内容：

1. 保存修改后的文件，再次使用Binwalk验证，确认zip文件结构已修复：

1. 使用foremost工具对修复后的文件进行分离，提取隐藏的zip文件：

1. 分离得到的zip文件有密码保护，结合前文的 “love” 线索，输入密码 “love” 解压：

1. 解压后获取文件，使用 MD5 查验工具验证文件完整性，最终成功拿到flag。

注：解压后的图片内容符合预期，解题完成。