题目链接:
http://www.shiyanbar.com/ctf/1916
分析:
下载题目提供的图片(base.jpg)
文件名为base,base,base 这在告诉我们什么呢?
是不是这道题目会用到base64编码进行加密解密?
格式为jpg (注:jpg格式的图片没有透明通道)
一样的流程,首先查看属性:
Paste_Image.png
(没有发现有用信息)
然后使用UE进行16进制查看:
Paste_Image.png
发现文件头就是正常的jpg文件头,然后查看文件尾部:
Paste_Image.png
这个时候发现了异常,我们发现这里出现了"flag"这个字符串,而且是"flag.txt"
这就充分表明这个文件应该不只是一张单纯的图片,极有可能是一个压缩包
这时我们来搜索一下压缩文件的文件头,看看是否能够发现文件头
各种文件文件头信息汇总
首先查询了zip格式的文件头(504B0304),没有找到
尝试搜索rar文件头(52617221),成功发现文件头
Paste_Image.png
然后对文件进行备份,然后修改后缀名为"rar"
使用压缩软件打开
需要让我们输入密码
自然而然我们想到了之前我们发现文件名是base
而且看到我们的rar部分中有这么一段:
Paste_Image.png
其中有一个字符串为"shiyanbar"
突然灵光乍现,是不是使用base64编码将"shiyanbar"这个字符串加密,就是压缩包的密码呢?
说干就干.
在线Base64编码解码器
Paste_Image.png
重新打开压缩包,输入加密后的密文c2hpeWFuYmFy
Paste_Image.png
Nice,成功打开~
(补充:)
如果还是不行,就可能需要考虑使用Stegsolve对图片进行通道的分析
答案:
CTF{simpleware}
知识点:
Base64编码格式
文件头
