圖片中的英語

一恆河沙中有三千世界，一張圖裡也可以有很多東西。

不多說了，答案是這個圖片包含的那句英文的所有單詞的首字母。

首字母中的首字母要大寫，答案格式是wctf{一坨首字母}

加油吧少年！看好你哦~

-----------------------------------------------題目與答案的分界線-----------------------------------------

分析

這個題應該也是考察隱寫術的破解

png圖片的檔案頭一般為

用winhex開啟該圖片，的確前8位元組為89 50 4E 47 0D 0A 1A 0A。檔案中剩餘的部分由3個以上的PNG的資料塊（Chunk）按照特定的順序組成，因此，一個標準的PNG檔案結構應該如下：

PNG資料塊（Chunk）

PNG定義了兩種型別的資料塊，一種是稱為關鍵資料塊(critical chunk)，這是標準的資料塊，另一種叫做輔助資料塊(ancillary chunks)，這是可選的資料塊。關鍵資料塊定義了4個標準資料塊，每個PNG檔案都必須包含它們，PNG讀寫軟體也都必須要支援這些資料塊。雖然PNG檔案規範沒有要求PNG編譯碼器對可選資料塊進行編碼和譯碼，但規範提倡支援可選資料塊。

下表就是PNG中資料塊的類別，其中，關鍵資料塊部分我們使用深色背景加以區分。

為了簡單起見，我們假設在我們使用的PNG檔案中，這4個數據塊按以上先後順序進行儲存，並且都只出現一次。

PNG檔案中，每個資料塊由4個部分組成，如下：

IEND

影象結束資料IEND(image trailer chunk)：它用來標記PNG檔案或者資料流已經結束，並且必須要放在檔案的尾部。

如果我們仔細觀察PNG檔案，我們會發現，檔案的結尾12個字元看起來總應該是這樣的：

00 00 00 00 49 45 4E 44 AE 42 60 82

不難明白，由於資料塊結構的定義，IEND資料塊的長度總是0（00 00 00 00，除非人為加入資訊），資料標識總是IEND（49 45 4E 44），因此，CRC碼也總是AE 42 60 82。

用winhex開啟圖片，找49454E44，發現一個IEND塊，而後面追加了一個有趣的東西：Rar，還有flag.jpg，我猜後面加了一個rar的壓縮包，裡面還有個jpg檔案。RAR檔案頭標誌是：52 61 72 21。

還可以用kali下的binwalk查一下，把圖片（6.png）存到Pictures檔案裡，在terminal中輸出binwalk6.png

看到後面有RAR檔案吧，那麼怎麼解出來？

可以用winhex，在RAR檔案頭標誌52 61 7221處設定“begin of block”，然後在檔案末尾設定”end of block”，意思是選中這些資料，點edit裡的copy block into new file，檔案字尾名為rar即可。

解壓rar後有flag.jpg，在winhex中開啟它看一下。

Jpg檔案格式標誌位：

發現這個flag.jpg裡面沒有明文key，可能是用到更高階的隱寫術。用binwalk也沒發現什麼。

上面說到的隱藏方式，是利用了增加資料的方式，把資料直接增加在了jpg後面。還有另一類隱藏的方法，就是利用了修改資料的方式來隱藏自己傳遞的資訊。

一種常見的方式是利用LSB來進行隱寫，LSB也就是最低有效位 (Least Significant Bit)。原理就是圖片中的像數一般是由三種顏色組成，即三原色，由這三種原色可以組成其他各種顏色，例如在PNG圖片的儲存中，每個顏色會有8bit，LSB隱寫就是修改了像數中的最低的1bit，在人眼看來是看不出來區別的，也把資訊隱藏起來了。譬如我們想把’A’隱藏進來的話，如下圖，就可以把A轉成16進位制的0x61再轉成二進位制的01100001，再修改為紅色通道的最低位為這些二進位制串。

如果是要尋找這種LSB隱藏痕跡的話，有一個工具是個神器，可以來輔助我們進行分析。Stegsolve這個軟體的下載地址是

http://www.caesum.com/handbook/Stegsolve.jar

開啟之後，使用Stegsolve——Analyse——Frame Browser這個可以瀏覽三個顏色通道中的每一位，可以在紅色通道的最低位，發現一個二維碼，然後可以掃描得到結果。

但是這個題，你用stegsolve還是不行。它只有1幀，看來不是疊加型的隱寫術。

資料在隱藏的時候，我們常常是需要先分析是資料隱藏在哪裡，也就是他在利用是什麼做載體，之後才可以進一步的分析是加密或編碼的。這也就是說我們要對一個圖片的格式要有了解，才能知道哪些地方是可疑的，哪些是可以隱藏起資訊的，會有冗餘的成分在。舉個例子吧，比如給了一個jpg的圖片。除了我們之前說到的隱藏在結束符之後的資訊，jpg圖片還可以把資訊隱藏的exif的部分。exif的資訊是jpg的頭部插入了數碼照片的資訊，比如是用什麼相機拍攝的。這些資訊我們也是可以控制的，用檢視屬性的方式可以修改一部分的資訊，還可以用exif編輯器來進行編輯。Power_exif這個可以用來編輯。

但這個圖，開啟屬性視窗，也沒什麼特別的。

總的來說，這圖片怎麼分析都沒有收穫。

最後百度一下，結果發現是大笑江湖的一句臺詞：May the force be with you。題目中又有提示：答案是這個圖片包含的那句英文的所有單詞的首字母，首字母中的首字母要大寫。答案呼之欲出了~。所以做題有時候可能用的不是純技術。

 答案：wctf{Mtfbwy}