#题目

StegSolve图片盲筛

让我自己检查这个文件

binwalk 检查

┌──(kali㉿kali)-[~/Desktop]
└─$ binwalk hint\ 1.png     DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             PNG image, 1000 x 150, 8-bit/color RGB, non-interlaced
41            0x29            Zlib compressed data, default compression
5984          0x1760          StuffIt Deluxe Segment (data): f+XOzsDjboavwNtZvpjWWtvZsDDOfLiesSbRNPEQBEDgroTMqVBQrNkfVpHAuSOndiiwXODNISCYZMNrRACxiEtphChXksEVNQOWvxQxYQ+uGgxaeBrvcNaMHMEvxaZk
67936         0x10960         StuffIt Deluxe Segment (data): fNuJpDERDdIaOZNai+CoqIa+DTgsEtMVsBjIAYItAPtSMrMkQQIJPpakhwWaIKJotVVBWpqHOMZPAwtWsHBV+rxNMEKgXRV+EilnPOSvdtCJHKAtOTfVAJCpYjIAeRjL
140829        0x2261D         StuffIt Deluxe Segment (data): fvPMpvjpTCfKGkjxG+VxfTVLftfvLraEDKvtDbSdXoZVizG+cCDDPKd+XEiIKqxvAfeWQtgCKXKWXtVAR+eQAegPqiPNp+pOMEPtzzvgtIkTgOWq+JYt+++Ol+KsELcb
187232        0x2DB60         StuffIt Deluxe Segment (data): fjpEVPsHTwrCroGzGnoLwjvYwiAvqxTueAuvuSXJglbrvoIClHJ+RPWsHZpthrYJBXgGdCPPsvfwliCeRnebbHbnSGzxkeoTdhNJRsOETWXaQWPNIHzKEgNwDZlZJVLW
244309        0x3BA55         eCos RTOS string reference: "ecosKtHYsvxIJRanOwiWWNYxriBWYzcOlEVoPxNzpeXReQcaAdVkqGhRkZcMEnYJOklurR+hWscMNYRtRJxXZeQfLcMJhMgZbvkNdPDSgzdLJdwDrbQfPhvOAg+aVLxM"
247553        0x3C701         StuffIt Deluxe Segment (data): fnvX+GIGMKE+aiHXuKDWOHIHMXSLVdoKKosARHnTzsABOjVzWBlkdxdAspDRGIiQJOuTwqpDAtkSxdggQqoazuToGwpdzrJOPQaKGkgEMxcekVKxGcSngWuqgSQBPixz
277260        0x43B0C         COBALT boot rom data (Flat boot rom or file system)
464214        0x71556         StuffIt Deluxe Segment (data): fBEllSs7G4qIOURP8XckU4UJDEVod3DZPnQgkDoAUgAAAFIAAAACZ3NveUF3JUodMBgAIAAAAGQ3YjA1NzliMTdiNWExYmYzYmRlLnR4dADAQlpoOTFBWSZTWaVKfBMA
560653        0x88E0D         StuffIt Deluxe Segment (data): fsjukotKpnhdlvnRikhqnMRtuowkNqvHtZdVjKkaTPQruHrLRKBSLfcsZYqDXJLccOwDcAbMxWdVidQLNZnJhxdLwaKKonxNGBtaJYMAAl+bRfZETIJcKsjpqtzMtgsq
644141        0x9D42D         StuffIt Deluxe Segment (data): fO+rQvhXLctsaRfWOjjSXPehzSbWJrfVsMXrTMrTaQlB+GxbVXDbIxnckrwlhXkiGuOutNLlErRHScpoESJKjwPpulVMRKLVfIZDJJPlORtkodGplaxXTZAIABxiOwC+
658201        0xA0B19         StuffIt Deluxe Segment (data): fpiHlbngTGOa+TlwTCsrudlapwKkHvknJhoZiBJTAMRWIvIIBTBErvBOwtoMQ+REHsupLhpPtPOokWWiYXDEchiifBkHZlsDhcPskCPOjjEHduPEIRDjVjKQYdXdEwgD

命令运行后，binwalk 对 hint 1.png 文件进行了扫描，并列出了它发现的所有可疑数据块。

输出分为四个列：

1. DECIMAL: 该数据块在文件中的起始位置（以十进制字节偏移量表示）。
2. HEXADECIMAL: 该数据块在文件中的起始位置（以十六进制字节偏移量表示）。
3. DESCRIPTION: 对该数据块的描述（即 binwalk 认为它是什么）。

扫描结果发现了三个部分：

1. PNG 文件头 (偏移量 0)

   • 0 0x0 PNG image, 1000 x 150, 8-bit/color RGB, non-interlaced
   • 解释： 在文件的最开头（偏移量 0），binwalk 检测到了一个标准的 PNG 图像文件头。这非常正常，因为它本来就是一个 PNG 文件。后面的信息描述了图片的属性：宽度 1000 像素，高度 150 像素，8位色RGB颜色，非隔行扫描。

2. Zlib 压缩数据 (偏移量 41)

   • 41 0x29 Zlib compressed data, default compression
   • 解释： 在偏移量 41 字节处，发现了经过 Zlib 压缩的数据。这在一个 PNG 文件中是完全正常的。PNG 图像格式使用 Zlib 压缩算法来压缩其图像数据（IDAT 块）。所以这个发现通常不代表隐藏了文件，它只是 PNG 文件本身的一部分。

3. StuffIt 归档数据 (偏移量 5984)

   • 5984 0x1760 StuffIt Deluxe Segment (data): f+XOzsDjboavwNtZvpjWWtvZsDDOfLiesSbRNPEQBEDgroTMqVBQrNkfVpHAuSOndiiwXODNISCYZMNrRACxiEtphChXksEVNQOWvxQxYQ+uGgxaeBrvcNaMHMEvxaZk
   • 解释： 这是最关键和可疑的发现。在偏移量 5984（十六进制 0x1760）字节处，binwalk 检测到了 StuffIt Deluxe Segment 的文件签名（Magic Bytes）。
   • StuffIt 是一种主要用于 macOS 系统的文件压缩和归档格式（类似于 Windows 上的 ZIP 或 RAR）。
   • 但是 最后那串字符 f+XOzsDjboavwNtZvpjWWtvZsDDOfLiesSbRNPEQBEDgroTMqVBQrNkfVpHAuSOndiiwXODNISCYZMNrRACxiEtphChXksEVNQOWvxQxYQ+uGgxaeBrvcNaMHMEvxaZk看起来是base64的编码

dd按字节分割文件

┌──(kali㉿kali)-[~/Desktop]
└─$ dd if=hint\ 1.png of=1 bs=1 skip=5984        
720999+0 records in
720999+0 records out
720999 bytes (721 kB, 704 KiB) copied, 2.04015 s, 353 kB/s

对文件base64解密，然后用binwalk检查

┌──(kali㉿kali)-[~/Desktop]
└─$ base64 -d 1 > 2
base64: invalid input┌──(kali㉿kali)-[~/Desktop]
└─$ binwalk 2      DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
206415        0x3264F         RAR archive data, version 4.x, first volume type: MAIN_HEAD
206495        0x3269F         bzip2 compressed data, block size = 900k
206636        0x3272C         bzip2 compressed data, block size = 900k
206778        0x327BA         bzip2 compressed data, block size = 900k
206917        0x32845         bzip2 compressed data, block size = 900k
207054        0x328CE         bzip2 compressed data, block size = 900k
207191        0x32957         bzip2 compressed data, block size = 900k
207329        0x329E1         bzip2 compressed data, block size = 900k
207471        0x32A6F         bzip2 compressed data, block size = 900k
207606        0x32AF6         bzip2 compressed data, block size = 900k
207743        0x32B7F         bzip2 compressed data, block size = 900k

binwalk把文件全都提取出来

┌──(kali㉿kali)-[~/Desktop]
└─$ binwalk -e 2DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
206415        0x3264F         RAR archive data, version 4.x, first volume type: MAIN_HEAD
206495        0x3269F         bzip2 compressed data, block size = 900k
206636        0x3272C         bzip2 compressed data, block size = 900k
206778        0x327BA         bzip2 compressed data, block size = 900k
206917        0x32845         bzip2 compressed data, block size = 900k
207054        0x328CE         bzip2 compressed data, block size = 900k
207191        0x32957         bzip2 compressed data, block size = 900k
207329        0x329E1         bzip2 compressed data, block size = 900k
207471        0x32A6F         bzip2 compressed data, block size = 900k

strings对提取的txt文件进行文本搜索

┌──(kali㉿kali)-[~/Desktop/_2.extracted]
└─$ strings *|grep -i pass                                                 
The password is 'Love & Truth'.

密码用于解压压缩包，找到flag

ZCTF{Nightingale}