1、直接使用winhex打開,搜索flag。
2、查看圖片信息尋找flag。可以使用網站:https://exif.tuchong.com/
3、使用binwalk分析,發現有另一張圖片,使用foremost分離圖片。(binwalk和foremostkali自帶)
4、使用binwalk -e分離數據,flag在分離后得到的文件里。
5、圖片有2個IDAT塊,使用tweakpng工具,嘗試刪除第一個IDAT塊的數據,另存為后打開新圖片。
6、圖片有很多個IDAT塊,先使用PNGDebugger跑一下,看看有沒有出錯的IDAT塊,沒有就慢慢試一個一個刪除看看。
7、圖片里面藏有另一個圖片,並且使用binwalk -e和foremost都無法分離,就在winhex里手動分離。
8、使用zsteg發現隱藏數據,並用命令zsteg -E "extradata:0" misc17.png > 1.txt提取出來。再使用binwalk提取1.txt中數據。
9、使用MagicEXIF查看圖片,看看縮略圖里有沒有。
10、bmp文件修改寬高:使用010editor的bmp.bt模板進行修改。
11、png圖片修改寬高:使用winHex修改。左框是圖片寬度,右框是圖片高度。
12、jpg格式圖片修改寬高,用winhex打開圖片,將圖片寬或高轉換成16進制在winhex中搜索,之后修改。
13、gif的每一幀都有寬高所以修改的地方不止一處。
14、計算正確的寬度(當知道正確高度):
通過winhex得到文件的文件頭所占字節,和文件尾所在的字節。00為windows填充,此處顯示為16進制,要轉換為10進制。
因為每個像素點由3個字節(十六進制碼6位)表示,每個字節負責控制一種顏色,分別為藍(Blue)、綠(Green)、紅(Red),所以文件真實的像素大小為:(總大小-文件頭大小)/3。將真實大小除以真實的高度得到真實的寬度。