CTF隐写工具

mind

在SDUTSec上的一道MISC

研究了老长时间，把之前能用的工具手段都用到了，依然没用。
直到后来偶然看到一篇博客，而且题目是“jp英文版的隐藏”，应该用的是jphide加密方式，才有所启发misc_ - 1go0 - 博客园
了解到这道题应该用stegdetect来解时，现在我们来重新看一下这道题：
1.将图片复制到stegdetect.exe所在目录下，右键PowerShell命令stegdetect.exe -tjopi -s 10.0 hide.jpg检测该图片用的是哪种加密方式
发现是jphide加密
2.然而我们并不知道密码是啥，这时可以用stegdetect下的stegbreak字典破解，同样图片和stegbreak.exe在同一目录下，命令stegbreak.exe -r rules.ini -f password.txt -r p hide.jpg破解密码jphide[v5](123456)中的123456即为密码
3.使用jphide下的工具JPHS从hide.jpg图片提取出隐藏信息
4.然后打开保存的txt文件，即得flag

stegdetect0.4链接：
链接：https://pan.baidu.com/s/1tQqG2J13cmj7TCIw0Z5CBQ
提取码：v9n0

jphide链接：
链接：https://pan.baidu.com/s/1dVcX13dcA7Tjd8e8YHVVTQ
提取码：nnnk
================================
0x00 Stegdetect
Stegdetect程序主要用于分析JPEG文件，可以检测到通过JSteg、JPHide、OutGuess、Invisible Secrets、F5、appendX和Camouflage等这些隐写工具隐藏的信息
1，安装
windows安装文件我没找到。我在kali安装Stegdetect比较简单
apt-get install stegdetect
OutGuess安装：https://github.com/crorvick/outguess.git
./configure && make && make install
Stegdetect通过统计测试来分析图像文件中是否包含隐藏内容。它运行静态测试以判断隐藏的内容是否存在。此外，它还会尝试识别隐藏内容是通过哪个隐写工具嵌入的。
2，Stegdetect的主要选项如下：
q – 仅显示可能包含隐藏内容的图像
n – 启用检查JPEG文件头功能，以降低误报率。如果启用，所有带有批注区域的文件将被视为没有被嵌入信息。
如果JPEG文件的JFIF标识符中的版本号不是1.1，则禁用OutGuess检测。
s – 修改检测算法的敏感度，该值的默认值为1。检测结果的匹配度与检测算法的敏感度成正比，
算法敏感度的值越大，检测出的可疑文件包含敏感信息的可能性越大。
d – 打印带行号的调试信息。
t – 设置要检测哪些隐写工具（默认检测jopi），可设置的选项如下：
j – 检测图像中的信息是否是用jsteg嵌入的。
o – 检测图像中的信息是否是用outguess嵌入的。
p – 检测图像中的信息是否是用jphide嵌入的。
i – 检测图像中的信息是否是用invisible secrets嵌入的。
当然误报率还是有的



0x01 outguesslinux下载安装比较简单：
http://download.csdn.net/detail/florak/5620983
./configure && make && make install
执行以下命令解密:
outguess -r ‘/root/Desktop/angrybird.jpg’ -t 11.txt

0x02 mp3stegomp3stego(http://www.petitcolas.net/steganography/mp3stego/)主要用于mp3隐写
使用非常简单
加密:encode -E hidden_text.txt -P pass svega.wav svega_stego.mp3
解密：decode -X -P pass svega_stego.mp3



0x03 binwalk,dd,foremost命令linux下binwalk命令常用于分析隐写文件，dd命令用于提取文件。
分析：
root@kali:~/Desktop# binwalk baozou_new.jpg
DECIMAL       HEX           DESCRIPTION
-------------------------------------------------------------------------------------------------------------------
0             0x0           JPEG image data, JFIF standard  1.01
4308          0x10D4        Zip encrypted archive data, at least v2.0 to extract, compressed size: 8890,  uncompressed size: 9990, name: "qr.png"
可以看出 0x10D4位置后是zip文件。
提取文件：
root@kali:~/Desktop# dd if=baozou_new.jpg of=2.zip bs=1 skip=4308
9065+0 records in
9065+0 records out
9065 bytes (9.1 kB) copied, 0.0475933 s, 190 kB/s
foremost命令同样可以达到效果：
foremost -v -i baozou_new.jpg -o /root/Desktop/xx
支持恢复如下格式：avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi,
sxw, vis, wav, wmv, xls, zip。



0x04 F5-steganographygit clone https://github.com/matthewgao/F5-steganography
cd F5-steganography
java Extract ../123456.jpg -p 123456
后会生成output.txt文件，里面就有flag了

0x05 steghide(暴力破解密码脚本链接：https://pan.baidu.com/s/1i5HuRZ3 密码：b5sy)官网地址：http://steghide.sourceforge.net/documentation.php
在文件中隐藏数据
steghide –embed -cf /root/Desktop/1111.jpg -ef /root/Desktop/embeddate
检查图片中隐藏的信息
steghide info /root/Desktop/1111.jpg
steghide extract -sf background.jpg



作者：Sund4y
链接：https://www.jianshu.com/p/1ca0614abdca
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。