CTFshow-Misc入门 图片隐写篇(1-23)

1. 图片隐写基础概念与工具准备

图片隐写是CTF比赛中Misc类题目的常见考点，简单来说就是把关键信息藏在图片里。就像小时候用柠檬汁在纸上写隐形字一样，只不过现在用的是二进制数据。我第一次接触这类题目时，连该用什么工具都不知道，现在回头看其实掌握几个核心工具就能解决80%的基础题。

最常用的三件套是：

• 010 Editor：十六进制编辑器中的瑞士军刀，支持文件结构模板解析
• Binwalk：自动化分析文件嵌入数据的利器
• ExifTool：读取图片元信息的专业工具

安装这些工具在Linux下很简单：

sudo apt install binwalk exiftool wget https://www.sweetscape.com/download/010editor_linux64.tar.gz

新手最容易犯的错误是盲目使用工具。有次我拿到题目直接binwalk -e，结果把关键数据破坏了。正确的做法应该是：

1. 先用file命令确认真实文件类型
2. 复制备份文件
3. 从非破坏性检查开始（如strings、exiftool）

2. 文件结构与基础隐写手法

2.1 文件尾追加数据

这是最简单的隐写方式，就像在信封背面又贴了张便条。用010 Editor打开文件，直接滚动到最后往往能看到flag。比如misc5这道题：

1. 用hex编辑器打开图片
2. 在文件末尾发现ctfshow{xxxx}格式的字符串
3. 如果显示乱码，可以尝试调整编码（如从ASCII切到UTF-8）

进阶技巧是结合dd命令提取隐藏部分：

dd if=misc5.png bs=1 skip=$(( $(stat -c%s misc5.png) - 100 )) | strings

2.2 文件头伪装术

有些题目会故意修改文件签名（Magic Number），比如misc2把PNG文件改成.txt后缀。识别这类问题有两个诀窍：

1. 用file命令检测真实类型
2. 查看文件头特征：
   • PNG:89 50 4E 47
   • JPG:FF D8 FF E0
   • GIF:47 49 46 38

我曾遇到一个bpg格式的题目（misc3），解决方法是用bpgview工具转换：

sudo apt install bpg bpgview misc3.bpg

3. 元数据隐写实战

3.1 Exif信息隐藏

图片的Exif就像身份证，记录着拍摄设备、时间等信息。misc7这类题目通常有三种解法：

1. 命令行快速查看：

   exiftool misc7.jpg | grep -i ctf

2. 使用在线工具如exif.regex.info
3. 用hex编辑器搜索Exif特征码（45 78 69 66）

有个坑点要注意：Windows右键属性只能看到部分信息。有次比赛我差点因此错过flag，后来用-a参数才显示完整：

exiftool -a -u -g1 misc7.jpg

3.2 特殊字段利用

misc18-misc23这组题展示了各种奇葩的元数据位置：

• 缩略图（misc22）：用exiftool -b -ThumbnailImage misc22.jpg > thumb.jpg
• 注释字段（misc20）：exiftool -Comment misc20.jpg
• 时间戳（misc23）：需要将十进制时间戳转十六进制

最麻烦的是misc21这类需要数据转换的题目，我的解题脚本如下：

timestamps = [874865822, 2699237688, 2156662245, 460377706] flag = ''.join([hex(t)[2:] for t in timestamps]) print(f"ctfshow{{{flag}}}")

4. PNG文件结构深挖

4.1 IDAT块魔术

PNG的IDAT块存储图像数据，但可以玩出很多花样。misc11的解题过程很典型：

1. 用pngcheck -v misc11.png查看块结构
2. 发现异常数量的IDAT块
3. 用TweakPNG删除前几个IDAT块
4. 保存为新文件后显示隐藏内容

更专业的做法是使用Python的zlib模块直接操作：

import zlib with open('misc11.png','rb') as f: data = f.read() # 定位到第二个IDAT块 idat2 = data.find(b'IDAT', data.find(b'IDAT')+1) print(zlib.decompress(data[idat2+4:idat2+200]))

4.2 CRC爆破技巧

当图片尺寸被修改时（如misc32），可以用CRC值反推原始尺寸。这个脚本我比赛时经常用：

import zlib, struct def crack_size(filename, crc): with open(filename,'rb') as f: data = f.read(29) for w in range(1024): for h in range(1024): new_data = data[:16] + struct.pack(">2I",w,h) + data[24:] if zlib.crc32(new_data[12:29]) == crc: return w,h

5. 动态图片隐写分析

5.1 GIF帧操作

misc37这类题目需要在多帧中找flag，推荐使用stegsolve的Frame Browser功能。更高效的方法是命令行处理：

convert misc37.gif -coalesce frame_%02d.png for i in {09,14,21,31,34}; do strings frame_$i.png | grep ctf; done

5.2 时间隐写术

misc39利用帧间隔时间存储二进制数据，解题步骤：

1. 提取延迟时间：

   identify -format "%T " misc39.gif > times.txt

2. 转换时间值为二进制：

   times = open('times.txt').read().split() binary = ''.join(['1' if t=='37' else '0' for t in times])

3. 按7位一组转换ASCII：

   flag = ''.join([chr(int(binary[i*7:(i+1)*7],2)) for i in range(len(binary)//7)])

6. 实战中的疑难问题解决

6.1 异常文件处理

遇到misc41这种特殊题目时，提示往往藏在细节里。我的处理流程：

1. 用xxd misc41.jpg | grep F001查找特征值
2. 建立坐标映射关系：

   from PIL import Image img = Image.new('RGB', (125,8)) for y in range(8): for x in range(125): img.putpixel((x,y), (0,0,0) if has_f001(x,y) else (255,255,255)) img.show()

6.2 二进制数据处理

misc13这类题目需要处理混合编码数据时，这个脚本能救命：

s = "631A74B96685738668AA6F4B77B07B216114655336A5655433346578612534DD38EF66AB35103195381F628237BA6545347C3254647E373A64E465F136FA66F5341E3107321D665438F1333239E9616C7D" flag = ''.join([chr(int(s[i:i+2],16)) for i in range(0,len(s),4)])

7. 文件格式转换技巧

7.1 格式转换的妙用

misc45教会我们：有时候转换文件格式就能解决问题。操作步骤：

1. 在线转换png到bmp
2. 用binwalk分析新文件：

   binwalk -e converted.bmp

3. 在提取的目录中找到flag

7.2 二进制差异分析

当常规方法失效时（如misc49），可以尝试：

xxd misc49.jpg | grep 'FF E' | cut -c10-10 | tr -d '\n'

这个命令链实现了：

1. 十六进制转储
2. 过滤特定模式
3. 提取关键字节
4. 拼接成flag

8. 高效解题的实用建议

经过几十场CTF比赛，我总结出图片隐写的黄金法则：

1. 先肉眼观察：用不同查看器打开图片（浏览器、图片编辑器、hex编辑器）
2. 检查基础信息：

   file miscX strings miscX | grep -i ctf exiftool miscX

3. 尝试无损提取：

   binwalk -e miscX foremost miscX

4. 分析文件结构：使用010 Editor的模板功能
5. 考虑数据转换：ASCII/Hex/Base64/二进制互相转换

最后分享一个真实案例：有次比赛我卡在最后一步，死活解不出flag。后来发现是把字母o和数字0看混了。所以提醒大家：提交前一定要仔细校验每个字符。