CTF解密MISC(二)

菜狗最近学会了拼图,这是他刚拼好的,可是却搞错了一块(ps:双图层)

下载这次解密的RAR文件

双击打开会发现

这时就需要使用WinHex打开,修复损坏(WinHex自行下载,免费可用)

首先介绍一下rar编码方式,在一篇论文里找到详细的介绍

https://wenku.baidu.com/view/918e2c146c175f0e7cd1370d.html

这里提取一下信息,rar格式开头必须为52 61 72 1A,这是16进制的,在右侧转换为ASC2也可以看到是Rar!,结束必定为C4 3D 7B 00 40 07。(与此题无关)

注1:CRC为CRC32的低2个字节(MARK_HEAD的CRC 为固定的0x5261,非计算出来的值)
注2:
HEAD_TYPE=0x72 标记块
HEAD_TYPE=0x73 压缩文件头
HEAD_TYPE=0x74 文件头
HEAD_TYPE=0x75 注释头
HEAD_TYPE=0x76 旧风格的用户身份信息
HEAD_TYPE=0x77 旧风格子块
HEAD_TYPE=0x78 恢复纪录
HEAD_TYPE=0x79 用户身份信息
HEAD_TYPE=0x7a 子块

再看一下这道题,题目提示是双图层,可是压缩包里只有一个文件。双图层的话肯定是有图片了。想要修复的话就要分离出第二个文件,下面这个图可以看到,第一个文件结束的位置

后面的A8 3C就是CRC,再后面的7A是 HEAD_TYPE 。7A表示为子块,而rar里文件块才对应着一个文件,这里肯定是故意把文件块(74)更改成子块。从上面的表格可以查到文件快: HEAD_TYPE=0x74 。这时我们手动更改:选中7A,右键编辑,选择填充选快,输入74,确定

ctrl+s保存

这时就可以发现,隐藏了一个png文件

题目提示了是双图层,所以用ps分离

用ps打开时,又提示不是png图片,难道还有一层?

再次用winhex打开secret.png

原来是gif格式,改成gif,再用ps打开,分离后为两个白色图片

使用Stegsolve打开,查看里面隐藏信息,当选择到red 0的时候,发现了一半二维码

合并两个图片,用Stegsolve就可以完成(百度),注意必须是AND模式

二维码定位标缺损,手动用画图补上,用它左下角那个完整的就可以

然后扫描二维码,我用的是QR_Research

得到flag{yanji4n_bu_we1shi}


发表评论