RAR压缩文件格式+图片隐写
1、查看压缩包有无隐写
这里可以看到还有一个ZIP压缩包。所以尝试
①将RAR和ZIP分离出来。
②尝试把分离出来的压缩包解压
这里可以看到有一个特别的文件夹,里面有一个flag.rar.所以猜测flag就在这。
③解压flag.rar
2、改正文件头标志位。
从解压报错可以看到存在一个secret.png的文件头出错。
①Winhex修改
猜测是这里的文件头标志位0x74被改成了0x7A导致文件头报错。
②尝试再次解压flag.rar
secret.png成功被解压出来。可以看到这是一个空白的动图有两张图片(坑爹)。
③文件格式应该为 GIF。用file命令证实。改文件后缀。
3、图片隐写
思路一: 一开始使用Winhex看到里面许多的Adobe,所以就用Photoshop打开secret.png 发现有两个图层 分别保存为两张图片。
PS: 这里一开始我直接用Stegsolve分析,发现二维码只有一半。
思路二: 后来想到可以用Stegsolve的帧浏览功能。分离出两张图片。结果图片大小不一样,通过Winhex修改了长宽后图片就没法用Stegsolve分析。思路二行不通。
①用PS分离出的两张png图片+stegsolve合并图片
直接使用二维码扫描无法识别。
②画图工具将三个脚补齐
③在使用CQR二维码扫描。
4、总结
RAR的文件格式需要了解,注意观察细节。很坑的题,空白图片想了半天以为是宽度高度的问题。最后二维码要手动补齐三个脚。
没搞懂怎么stegsolve分离的两张图片将其中一张261x261的用Winhex改为280x280就没法加载分析了。使用ps估计是智能调整了图片大小。