一、基础定义隐写Steganography隐写术把一段信息flag、文字、文件藏在普通载体里外人肉眼看不出载体有异常和加密不同加密是信息本身乱掉隐写是藏起存在性。图片隐写 以图片jpg/png/bmp/gif 等作为载体的隐写是 CTF 中最常见题型之一。 CTF 目标从看似正常的图片里提取出题人藏好的flag{xxx}。二、常见几种图片隐写方式CTF 高频1. LSB 最低有效位隐写最经典多见于 BMP/PNG图像每个像素由 RGB 三色通道组成每种颜色用 8 位二进制存储。 只修改每个颜色字节最后 1 个比特人眼几乎分辨不出色彩变化把秘密信息按比特依次存入这些低位就能藏数据。 工具zsteg、steghide、python 脚本解析 LSB。2. 文件拼接图片 压缩包 / 其他文件直接把图片和 zip/rar/7z 二进制拼接cat 原图.jpg 秘密.zip out.jpg图片打开正常但文件尾部附着压缩包。 解法用 binwalk 分离、7z 解压、字符串搜索。3. 图片元数据隐写图片 EXIF / 注释字段写入 flag。 解法exiftool、查看图片属性、strings 命令。4. JPG 特殊隐写steghide用密码把文件嵌入 jpg需密钥提取JPG 块结构篡改、量化表隐藏信息5. GIF 动图隐写多帧 GIF信息藏在某一帧、帧差、调色板中工具 zsteg。6. 视觉类隐写非二进制纯看图色差两张几乎一样的图片相减显 flag二维码 / 盲水印、分通道查看R/G/B 单通道像素高度 / 宽度暗藏信息、图片旋转 / 翻转三、和加密简单区分加密信息是乱码别人知道这里有信息只是看不懂隐写别人第一眼不知道这里藏了信息四、CTF 常规解题思路简版查看文件基础信息file、strings搜 flag 关键词binwalk 检查是否内嵌其他文件zsteg 扫描 png/bmp/gif LSB 隐写exiftool 读取元数据steghide 尝试提取需密码图像工具分离通道、差分、分析像素使用工具010 Editor功能十六进制编辑、查看文件结构、修改文件头、提取尾部数据适用场景发现图片异常、修复文件头、提取附加在图片末尾的压缩包 / 文本四、解题步骤带插图说明插图 1题目文件展示 展示题目附件桌面上的 admin.exe 文件图标为常规可执行文件样式直接双击无法得到有效信息。步骤 1用 010 Editor 打开文件判断真实格式 打开 010 Editor将 admin.exe 拖入软件 查看文件开头十六进制数据 正常 EXE 文件头4D 5A 90 00本题文件头89 50 4E 47PNG 图片文件头 结论该文件本质是 PNG 图片被改后缀为 exe。插图 2010 Editor 查看文件头 展示 010 Editor 界面标注出文件头 89 50 4E 47说明这是 PNG 标识。步骤2将admin.exe重命名为admin.png步骤3使用QR识别工具导入该admin.png扫描其内容就可得出flag
图片隐写解题
一、基础定义隐写Steganography隐写术把一段信息flag、文字、文件藏在普通载体里外人肉眼看不出载体有异常和加密不同加密是信息本身乱掉隐写是藏起存在性。图片隐写 以图片jpg/png/bmp/gif 等作为载体的隐写是 CTF 中最常见题型之一。 CTF 目标从看似正常的图片里提取出题人藏好的flag{xxx}。二、常见几种图片隐写方式CTF 高频1. LSB 最低有效位隐写最经典多见于 BMP/PNG图像每个像素由 RGB 三色通道组成每种颜色用 8 位二进制存储。 只修改每个颜色字节最后 1 个比特人眼几乎分辨不出色彩变化把秘密信息按比特依次存入这些低位就能藏数据。 工具zsteg、steghide、python 脚本解析 LSB。2. 文件拼接图片 压缩包 / 其他文件直接把图片和 zip/rar/7z 二进制拼接cat 原图.jpg 秘密.zip out.jpg图片打开正常但文件尾部附着压缩包。 解法用 binwalk 分离、7z 解压、字符串搜索。3. 图片元数据隐写图片 EXIF / 注释字段写入 flag。 解法exiftool、查看图片属性、strings 命令。4. JPG 特殊隐写steghide用密码把文件嵌入 jpg需密钥提取JPG 块结构篡改、量化表隐藏信息5. GIF 动图隐写多帧 GIF信息藏在某一帧、帧差、调色板中工具 zsteg。6. 视觉类隐写非二进制纯看图色差两张几乎一样的图片相减显 flag二维码 / 盲水印、分通道查看R/G/B 单通道像素高度 / 宽度暗藏信息、图片旋转 / 翻转三、和加密简单区分加密信息是乱码别人知道这里有信息只是看不懂隐写别人第一眼不知道这里藏了信息四、CTF 常规解题思路简版查看文件基础信息file、strings搜 flag 关键词binwalk 检查是否内嵌其他文件zsteg 扫描 png/bmp/gif LSB 隐写exiftool 读取元数据steghide 尝试提取需密码图像工具分离通道、差分、分析像素使用工具010 Editor功能十六进制编辑、查看文件结构、修改文件头、提取尾部数据适用场景发现图片异常、修复文件头、提取附加在图片末尾的压缩包 / 文本四、解题步骤带插图说明插图 1题目文件展示 展示题目附件桌面上的 admin.exe 文件图标为常规可执行文件样式直接双击无法得到有效信息。步骤 1用 010 Editor 打开文件判断真实格式 打开 010 Editor将 admin.exe 拖入软件 查看文件开头十六进制数据 正常 EXE 文件头4D 5A 90 00本题文件头89 50 4E 47PNG 图片文件头 结论该文件本质是 PNG 图片被改后缀为 exe。插图 2010 Editor 查看文件头 展示 010 Editor 界面标注出文件头 89 50 4E 47说明这是 PNG 标识。步骤2将admin.exe重命名为admin.png步骤3使用QR识别工具导入该admin.png扫描其内容就可得出flag
