你以为是张图片?其实是你懂的....

Posted xhmj12

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了你以为是张图片?其实是你懂的....相关的知识,希望对你有一定的参考价值。

相关阅读:一个90后员工猝死的全过程

晓查 发自 凹非寺 
量子位 报道 | 公众号 QbitAI

明明下载的是一张图片,只需修改后缀名,图片就变成了一首歌,一串代码。

国外黑客David Buchanan利用Twitter的漏洞,可以用图片伪装的方式传输一份“加密”文件,前提是不超过3MB

他成功把这种藏匿文件的GitHub源代码压缩到图片中。

现在你只要去他的Twitter,把这张图片下载下来,并将文件后缀名从.png修改为.zip,即可解压为Github代码。

(注:亲测Mac自带解压工具报错,第三方工具可正常解压。)

对于有十几年网龄的老网民来说,这并不是一项新技术。早年就有人将文本文件或种子文件藏匿在jpg图片中。

这种方法的特点在于,把文件打包到图片中并不影响正常显示,但一般来说文件大小不过几十KB。

随着网络发展,越来越多的平台允许用户上传大尺寸无损图片,这就给藏匿大文件提供了契机。

Buchanan的新方法现在将藏匿文件体积增加到3MB,你甚至能放入一首歌。

Twitter上就有现成的例子,Buchanan放出了一张surprise.mp3的图片。如果后缀名修改为.mp3,就变成了一首歌。

至于这个surprise,自然毫无意外是Rick Astley的《Never Gonna Give You Up》这首歌。恭喜你,又被“瑞克摇”了。

Buchanan的这一发现已经连续多天成为GitHub热门项目,最终在周末登上日榜第一。

使用方法很简单,只需要将pack.py文件下载到本地,运行以下代码:

python3 pack.py cover.png file.zip output.png

其中,cover.png是封面图片,file.zip是你要藏匿的文件,output.png是输出结果的文件名。

从外观上来看,output.png和cover.png是一样的,但多出一个压缩包的大小。

原理

用图片隐藏压缩包的原理并不复杂,png图片文件的格式如下。在Zlib之后,有一片IDAT块的附加数据。藏匿数据就放在这里。

图片来自Twitter用户@angealbertini

Twitter通常会压缩图像并删除所有不必要的元数据,但是可以在“ DEFLATE”的末尾添加更多数据。

如果整个图像文件符合避免重新编码的要求,压缩包内容就不会从IDAT块内的DEFLATE流中剥离。

这种方法不仅限于嵌入zip、mp3等文件,只要数据能压缩到3MB以内,都可以嵌入到png图片中。

Buchanan表示,这种方法可能被黑客用于藏匿恶意代码,他本人已将该漏洞利用报告给“漏洞赏金”程序,但却被Twitter告知这不是bug。

能传输“加密”文件,怎么能说是bug呢?应该是隐藏功能才对。(手动狗头)

带压缩包的图片地址:
https://i.imgur.com/kNhGrN3.png

David Buchanan的Twitter:
https://twitter.com/David3141593/status/1371974874856587268

项目地址:
https://github.com/DavidBuchanan314/tweetable-polyglot-png



1、滴滴、满帮、Boss直聘都被调查,为啥知乎美国上市没被查?

2、字节跳动重大宣布:取消!员工炸了:直接降薪1

3、再见了,Teamviewer!

4、人脸识别的时候,一定要穿上衣服啊!

5、程序员被公司辞退12天,前领导要求回公司讲清楚代码,结果懵了

以上是关于你以为是张图片?其实是你懂的....的主要内容,如果未能解决你的问题,请参考以下文章

每日减压程序员的表情包(最后一个你懂的!)

谈话艺术家

懂你的推荐算法,你懂的

SQL升级Oracle挖的Null坑,你懂的!

50行python代码实现个代理server(你懂的)

Laravel 采坑