隱寫術

 

 

 

一、圖片隱寫術

1.圖種

例如一個zip壓縮包（1.zip）+一個jpg圖片（4fcefdaba56019d77b476e30a5558b47.jpg）結合為一張圖片（output.jpg）

 

以下為Windows命令：

C:\Users\lenovo>copy/b C:\Users\lenovo\Desktop\1.zip + C:\Users\lenovo\Desktop\4fcefdaba56019d77b476e30a5558b47.jpg output.jpg

 

Windows輸出：

 

破解方法一：

使用kali Linux的 binwalk工具 檢索圖片文件里的其他文件

 

 

然后使用Linux 的 foremost 工具 將圖片中的  zip文件分離出來

 

 破解方法二：

直接將文件后綴改為.rar，然后解壓，但對於隱寫了多個文件可能會失敗

 

 

 

 

2.LSB隱寫

        LSB隱寫，也就是最低有效位 (Least Significant Bit)。圖片中的像數一般是由三原色組成，由這三種原色可以組成其他各種顏色，例如在PNG圖片的儲存中，每個顏色會有8bit，LSB隱寫就是修改了像數中的最低的1bit，寫入加密信息，而人眼無法注意到前后的變化。

        例如此圖看起只是六只環保色豬頭，但是其中包含了一張隱藏的二維碼，我們可以通過工具Stegsolve.jar打開此圖，然后通過下方的按鈕切換到Gray bits，可以看到左上角出現了隱寫在該通道的二維碼，掃描二維碼即可得到flag。

 

 

 

 

 

3、文件格式缺失&GIF隱寫

下圖是一張名為“此為gif圖片.gif”的文件，打開發現了報錯。

我們將其拖入winhex中查看。在CTF中有的時候會需要我們去修復圖片，這對我們對於圖片的文件結構要有了解。找到gif的文件格式，然后對照這個破損的文件對其進行修復。

我們可以用工具一幀一幀的觀察圖片。 上面提到的Stegsolve就帶有這種功能。

        Stegsolve——Analyse——Frame Brower

 

 

 

二、壓縮包隱寫術

1.偽加密

一個ZIP文件由三個部分組成：壓縮源文件數據區+壓縮源文件目錄區+壓縮源文件目錄結束標志

原理：zip偽加密是在文件頭的加密標志位做修改，進而再打開文件時識被別為加密壓縮包

      預備知識：一個 ZIP 文件由三個部分組成：壓縮源文件數據區+壓縮源文件目錄區+壓縮源文件目錄結束標志。方式標志位是判斷有無加密的是數據位，偽加密是將   壓縮源文件目錄區的全局方式標志位進行修改。

      我們現在把一個普通無加密壓縮包放進winhex中，然后把第二個加密標記位的00 00改為09 00，打開就會提示有密碼

 

2、 Zip密碼爆破

爆破：逐個嘗試所有密碼，直到遇到正確密碼

           字典：字典攻擊的效率比爆破稍高，因為字典中存儲了常用的密碼，因此就避免了爆破時把時間浪費在無用的密碼上

           掩碼攻擊：如果已知密碼的某幾位，如已知8位密碼的第4位是Z，那么可以構造XXXZXXXX進行掩碼攻擊，掩碼攻擊的原理相當於構造了第4位為Z的字典，攻擊效率      也比逐個嘗試的爆破方式高

           對於Zip密碼爆破，有兩款好用的軟件

           第一個是神器ZAPR，集合了多種爆破類型，還可以自定義爆破字典

 

 

還有一款軟件，當在CTF中遇到題目不是偽加密且有密碼范圍提示，就可以用爆破工具ziperello，八位純數字密碼秒破

 

 

 

 三、其他隱寫術

 

 

1、 MP3隱寫術

             MP3隱寫兩種方式：

                 第一種：題目中給了密碼了，用mp3stego去解密

                 第二種：如果在題目中沒有給key，而附件只給了一個MP3，那就有可是用mp3stego隱藏的數據，也有可能是在音軌的頻譜中隱藏了數據。

             MP3stego要在cmd命令提示符中打開，需要換盤到我們存儲文件的分區，具體方法如下：

              ①、開始->運行->CMD

              ②、進入某個磁盤，直接盤符代號：如D：

              ③、進入除根錄以下的文件夾 cd 文件夾路徑 例如我要進入 E:/123/321 就輸入 E：回車

            然后將MP3stego解碼程序所在的目錄粘貼到cmd中，在開始分析之前，要先把准備分析的MP3文件粘貼到decode.exe所在目錄中

 

 

 

 

 

2、PDF隱寫

          Office系列軟件作為優秀的辦公軟件為我們提供了極大的便利，其中的Word、Excel、PowerPoint提供了許多在文檔中隱藏數據的方法，比如批注、個人信息、水印、       不可見內容、隱藏文字和定制的XML數據。今天我們涉及到的就是提到的隱藏文本功能。

          利用PDF文件頭添加額外信息，這個區域的信息會被Adobe Acrobat Reader閱讀器忽略。

          工具： wbStego4open

          wbStego4open會把插入數據中的每一個ASCII碼轉換為二進制形式，然后把每一個二進制數字再替換為十六進制的20或者09，20代表0，09代表1。

          最后，這些轉換后的十六進制數據被嵌入到PDF文件中。查看用wbStego4open修改后的文件內容，會發現文件中已混入了很多由20和09組成的8位字節

 

 

3、DOC隱藏

        Doc文件的本質是一個壓縮文件，常見的隱藏文本的方式有兩種，即：將字體隱藏或者設置同色字體，以下就是一個字體隱藏的例子

 

 

如上圖所示，除了兩行無用數據意外我們並不能看出有其他有價值的信息，判斷flag可能是被隱藏，需要開啟文本顯示功能，查看是否是我們猜測的那樣。點擊左上角       文件-選項，打開Word選項對話框，在“顯示”中勾選隱藏文字選項

 

 

 

 

4、數據包隱寫術

         數據包隱寫術，就是將所要傳達的信息和文件，以流量包的形式下發給參賽選手，參賽選手要從流量包中自行提取出所需要的文件或者相關內容進行解題。比較常用       的工具是wireshark。關於此類部分的詳細介紹，大家可以訪問這個網址：https://ctf-wiki.github.io/ctf-wiki/misc/traffic/data/

         數據包隱寫術目前兩種考察行為：

           ①、flag或者關鍵信息直接隱藏在流量包中

           ②、flag相關文件隱藏在流量包中，需要分離文件