前言 今天我们想来介绍一下关于图片隐写相关处理,以及修复被修改尺寸的PNG图片. 关于PNG图片的相关处理,是CTF Misc图片隐写术中极为基础的一项操作,笔者这里是想要提一些做题过程中发现的小技巧. CTF图片处理基本套路 各种图片类型 比较常见有PNG图片,JPG图片,GIF图片. 其中GIF图片通常涉及逐帧分离,后续操作等等.JPG.PNG图片通常修改图片尺寸,图片隐写术等等.后续我们要重点提的就是修复被修改尺寸的PNG图片. 检查详细信息 很多时候重要信息就隐藏在图片的详细信息内,有可…

前言 盲水印同样是CTF Misc中极小的一个知识点,刚刚做到一题涉及到这个考点的题目. 感觉还挺有意思的,就顺便去了解了下盲水印技术. 数字水印 数字水印(Digital Watermark)一种应用计算机算法嵌入载体文件的保护信息.数字水印技术,是一种基于内容的.非密码机制的计算机信息隐藏技术.它是将一些标识信息(即数字水印)直接嵌入数字载体当中(包括多媒体.文档.软件等)或是间接表示(修改特定区域的结构),且不影响原载体的使用价值,也不容易被探知和再次修改.但可以被生产方识别和辨认.通过这…

这场CTF中有一道题是分析pcap包的.. 13.大黑阔: 从给的pcap包里把图片提取出来,是一张中国地图. 题目提示是黑阔在聊天,从数据里可以找出几段话. 思路:主要考察wireshark的过滤规则与熟悉度. 如果熟悉发送数据包的格式截取特定的字符串 "[{'" ,就能找出聊天记录了,也可以通过以下两个步骤找出关键的图片. 1.通过http过滤语句过滤出聊天内容 ((http) && !(frame.len == 78)) && !(frame.le…

参考大佬的博客:https://blog.csdn.net/a_small_rabbit/article/details/79644078 深有感触,觉得写得比较全,因此将此篇文章记录在此方便以后用得到. 0x01图像隐写术进行数据隐写分为以下几类: 1.在图片右击查看属性,在详细信息中隐藏数据 2.将数据类型进行改写(rar或者zip数据改为jpg等格式) 3.根据各种类型图像的固定格式,隐藏数据 在编译器中修改图像开始的标志,改变其原来图像格式 在图像结束标志后加入数据 在图像数据中加入数据…

1.什么是图片隐写术? 权威的wiki说法是“隐写术是一门关于信息隐藏的技巧与科学,所谓信息隐藏指的是不让除预期的接收者之外的任何人知晓信息的传递事件或者信息的内容.”,图片隐写术简而言之就是利用图片来隐藏某些数据,让人一眼看去以为是很普通很正常的图片,但其实里面隐藏着某些“机密”数据. 据传911事件里,KB份子就是通过黄色图片来传递信息而躲过了FBI的监控.还有大众点评也是通过图片隐写术来保护自身合法权益.所以图片隐写术是一个双刃剑,就看你用它做什么了. 比如下面这张图片: 看起来是一张很漂…

CTF中图片隐藏文件分离方法   0x01 分析 这里我们以图片为载体,给了这样的一样图片:2.jpg 首先我们需要对图片进行分析,这里我们需要用到kali里面的一个工具 binwalk ,想要了解这个工具可以参考这篇 Binwalk:后门(固件)分析利器 文章,以及 kali官方对binwalk的概述和使用介绍 . 这里我们就是最简单的利用,首先在kali终端进入目标图片所在的路径,然后在binwalk后直接提供固件文件路径和文件名即可: # Binwalk 2.jpg 当我们使用这行命令后,…

javascript图片隐写术,感觉可以用它来干点有想法的事情   1.什么是图片隐写术? 权威的wiki说法是“隐写术是一门关于信息隐藏的技巧与科学,所谓信息隐藏指的是不让除预期的接收者之外的任何人知晓信息的传递事件或者信息的内容.”,图片隐写术简而言之就是利用图片来隐藏某些数据,让人一眼看去以为是很普通很正常的图片,但其实里面隐藏着某些“机密”数据. 据传911事件里,KB份子就是通过黄色图片来传递信息而躲过了FBI的监控.还有大众点评也是通过图片隐写术来保护自身合法权益.所以图片隐写术是一…

0x00 前言 在安全的大趋势下,信息安全越来越来受到国家和企业的重视,所以CTF比赛场次越来越多,而且比赛形式也不断的创新,题目也更加新颖有趣,对选手的综合信息安全能力有一个较好的考验,当然更好的是能从比赛有所收获,不断学习和总结提升自己的信息安全能力与技术.转到CTF比赛上,通常在CTF比赛中常有与隐写术(Steganography)相关的题目出现,这里我们讨论总结图片隐藏文件分离的方法,欢迎大家补充和交流…

0x00 前言 在安全的大趋势下,信息安全越来越来受到国家和企业的重视,所以CTF比赛场次越来越多,而且比赛形式也不断的创新,题目也更加新颖有趣,对选手的综合信息安全能力有一个较好的考验,当然更好的是能从比赛有所收获,不断学习和总结提升自己的信息安全能力与技术.转到CTF比赛上,通常在CTF比赛中常有与隐写术(Steganography)相关的题目出现,这里我们讨论总结图片隐藏文件分离的方法,欢迎大家补充和交流:P 0x01 分析 这里我们以图片为载体,给了这样的一样图片: 首先我们需要对图片进…

flows 拿到一个pcap包,用wireshark打开,发现是USB协议,尝试在kali下使用tshark提取,提取失败,发现异常.回到wireshark分析数据.在其中一个数据包中发现了tip 把字节分组以原始数据保存出来,得到两个tips 然后将数据包排序,把最大的两个数据导出为1.pcap和2.pcap,然后在kali下利用tshark将leftover capture data里的内容单独提取出来,命令如下: tshark -r 1.pcap -T fields -e usb.capd…

1.隐写术( steganograhy ) 将信息隐藏到信息载体,不让计划的接收者之外的人获取信息.近几年来,隐写术领域已经成为了信息安全的焦点.因为每个Web站点都依赖多媒体,如音频.视频和图像.隐写术这项技术可以将秘密信息嵌入到数字媒介中而不损坏它的载体的质量.第三方既觉察不到秘密信息的存在,也不知道存在秘密信息.因此密钥 数字签名和私密信息都可以在开放的环境(如Internet或者内联网)中安全的传送 常见载体 图片 (利用颜色差别) 音频(音频中左右声道不一致,隐藏莫斯电报) 视频 压缩…

今天做DAM的作业,做到图片水印的时候,想起来当初小调同学把言页之庭的种子通过图片发给我.看到下面这个新闻真是觉得碉堡了!!技术宅又一次可以成功而隐晦的表白了!!哈哈哈!! http://war.163.com/10/0712/17/6BDLNUB90001123L.html 下面分享以下自己用python实现的隐写术,后面如果有时间会再更深入研究一下解码的问题!! 基本思路是: 1.每张图片都有RGB三个通道,每个像素点的值为3个8位的R/G/B值. 2.把每个RGB值的最后两位&111111…

Spamcarver 用kali下载图片 root@sch01ar:~# wget http://ctf5.shiyanbar.com/stega/spamcarver/spamcarver.jpg 用binwalk查看是否有隐藏的文件 root@sch01ar:~# binwalk /root/spamcarver.jpg 隐藏着一个zip文件 用foremost分离出文件 root@sch01ar:~# foremost /root/spamcarver.jpg 在/root/output/…

0x00 ext3 linux挂载光盘,可用7zip解压或者notepad搜flag,base64解码放到kali挂载到/mnt/目录 mount 630a886233764ec2a63f305f318c8baa /mnt/ cd /mnt/ ls 寻找 find | grep 'flag' 或 find -name 'flag*'查看 cat ./O7avZhikgKgbF/flag.txt eg:查找key.txt这些文件里是否存在grep -r ‘key.txt’ 显示在1文件,看文件类型…

今年参加了三起CTF比赛,属于初学者,基本除了web其他的不会,但分赛场AWD相对就没什么难度,基本都是技巧性.其中一场进入复赛了,本月底再次比赛(ctf题做的这么渣还能进也是绝了~),参照前人经验补充了一些总结下. 一.AWD介绍 AWD:Attack With Defence,即攻防对抗,比赛中每个队伍维护多台服务器(一般两三台,视小组参赛人数而定),服务器中存在多个漏洞(web层.系统层.中间件层等),利用漏洞攻击其他队伍可以进行得分,加固时间段可自行发现漏洞对服务器进行加固,避免被其他队…

1.题目 Create-By-SimpleLab 适合作为桌面的图片 首先是一张图片,然后用StegSolve进行分析,发现二维码 扫码得到一串字符 03F30D0A79CB05586300000000000000000100000040000000730D0000006400008400005A00006401005328020000006300000000030000001600000043000000737800000064010064020064030064040064050064060…

Reverseme 用winhex打开,发现里面的字符反过来可以正常阅读,所以文件被倒置了 Python解题程序如下 with open('reverseMe','rb') as f: with open('flag','wb') as g: g.write(f.read()[::-1]) 将获取的图片打开,将显示的内容倒过来看即可得到Key…

BugKu杂项-2B 下载图片后,binwalk下跑一跑,发现有个zip,分离. 值得一提的是,这个zip是伪加密的. 但是你在分离的时候,伪加密的图片也给你分离出来了.这两个图片2B和B2肉眼看起来长得是一样的,名字也很有意思. 2B和B2这两张极为相似的,这时候想到就是隐写里的提取盲水印,脚本我目前找到了两个(需要opencv,下面会有安装方法),并且这两个不完全一样,怎么说呢,用其中一个加上水印,用另一个解不开,所以还是都存起来吧.下载地址: https://github.com/liny…

前言:请登录实验吧开启刷题模式,拿到的flag返回该网站验证正确性. 下载“欢迎来到地狱”CTF题目(总共三个文件…

1.直接右键notepad打开,搜索flag,如果图片很多的话,可以写py脚本也    可以打开后搜索全部打开文件 2.是一个压缩包,改了后缀 3.图片中藏了一个二维码,用Stegsolve加几次滤镜就出来了 4.图片里有base64等各种形式编码的东西,用Stegsolve进行分析,找出来解码就行 5.文件错误,无法显示,notepad++打开,看是不是头部信息有缺失 6.一个图片里藏有另一个图片,binwalk一下,然后用dd分离出来 7.文件没有显示全,很明显切掉了一半,用winhex打开…

题目描述:菜猫给了菜狗一张图,说图下面什么都没有 1.给了个pdf,打开是这玩意 2.盲猜flag是图片后面,右键直接删除图片试试. 答案出来了.…

题目 链接:https://ctftime.org/task/6935 题解 只有两个页面的网站,index.html和about.html index.html页面有一个pdf链接,指向http://foi.uni.hctf.fun/docs/document_001.pdf,看这个命名就觉得很有意思,试了下最高能到document_300.pdf 把所有的pdf下载下来 发现有一个文件颜色不太一样 打开看下,flag就在里面 Flag : flag{F1rst_Gr4d3rs_4r1thm3…

CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式.CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式.发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事.而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” CTF竞赛模式 单兵作战…

起因 在v2ex上看到有人发了一篇帖子,说做了一个程序员小游戏,遂试玩了一下. 游戏的地址在这里: http://www.bettertomissthantomeet.com/pages/level.html 第零关 控制台打印的字符"Hello, world!",复制粘贴通过. 第一关 控制台又打印了一串字符: 看着像base64,拿去解码,得到"I'm a programmer.",复制粘贴通过. 第二关 为毛又是控制台打印- 拿去base64解码,得到&quo…

1.签到题 点开可见.(这题就不浪费键盘了) CTF- 2.这是一张单纯的图片 图片保存到本地,老规矩,winhex看一看 拉到最后发现 因为做过ctf新手的密码 所以一看就知道unicode 百度站长工具有解码的 可能是我复制出了问题不过答案很明显了key{you are right} 3.隐写 点开题目是压缩包,下载并解压是一张png图片 走套路查看属性什么的都不对,winhex也显示png的格式没问题 最后在winhex发现IHDR, 在winhex里面IHDR后面8个字节(好多博客说是8…

在线工具 MD5加密 MD5解密(推荐) MD5解密(推荐) MD5解密  escap加解密 维吉尼亚密码 SHA 对称加密AES DES\3DES  RC4\Rabbit  Quoted-printable 栅栏密码 希尔密码 猪圈密码 培根密码(方式1) rot13\18解码  rot13\18编码 凯撒密码 颜色查询 进制转化 培根密码(方式2) 质数分解 在线编译(PHP等) 摩斯密码 JSfuck jother brainfuck ppencode jjencode/aaencode…

1.签到题 略过 2.这是一张单纯的图片 拉入winhex,在最后面有一段Uniocde编码,解码得到flag. 3.隐写 题目是隐写,binwalk打开分析 得到两个Zlib(提供数据压缩用的函式库),提取出来没办法打开,可能是我不会吧. 看一下WP,把图片拉入winhex将图片的宽度和高度修改成一样.把高位置的A4改成F4.ctrl+s保存 4.tele 解压得到一个pcap格式的数据包,用记事本打开搜索flag.也可以用wireshark打开查看数据包. 5.眼见非实(ISCCCTF) 将…

sql注入l MySqlMySQL False注入及技巧总结MySQL 注入攻击与防御sql注入学习总结SQL注入防御与绕过的几种姿势MySQL偏门技巧mysql注入可报错时爆表名.字段名.库名高级SQL注入:混淆和绕过 MSSQLMSSQL DBA权限获取WEBSHELL的过程MSSQL 注入攻击与防御CLR在SQL Server中的利用技术分析 PostgreSQLpostgresql数据库利用方式PostgreSQL渗透测试指南 MongoDBMongoDB安全 – PHP注入检测 技巧我…

ref:https://chybeta.github.io/2017/08/19/Web-Security-Learning/ ref:https://github.com/CHYbeta/Web-Security-Learning Web-Security-Learning 学习资料01月29日更新: 新收录文章 mysql SSRF To RCE in MySQL MSSQL MSSQL不使用xp_cmdshell执行命令并获取回显的两种方法 postgresql 渗透中利用postgres…

Web Security sql注入 MySql MySQL False 注入及技巧总结 MySQL 注入攻击与防御 sql注入学习总结 SQL注入防御与绕过的几种姿势 MySQL偏门技巧 mysql注入可报错时爆表名.字段名.库名 高级SQL注入:混淆和绕过 Mysql约束攻击 Mysql数据库渗透及漏洞利用总结 MySQL绕过WAF实战技巧 NetSPI SQL Injection Wiki SQL注入的“冷门姿势” 时间延迟盲注的三种加速注入方式mysql 基于时间的高效的SQL盲注-使用…