查找图片中隐藏的flag

Posted 2020-11-02 khcker008

比如我们现有图123.jgp，要对它进行分析，查找图片中隐藏的flag，首先要了解一些关于图片格式的知识，这里举例jpg格式的图片，其他格式图片自行google一下。

jpg图片格式知识：

　　jpg格式文件开始的2字节是图像开始SOI(Start of Image,SOI)为FF D8，之后2个字节是JFIF应用数据块APPO(JFIF application segment)为FF E0 ，最后2个字节是图像文件结束标记EOI(end-of-file)为FF D9，在kali下用hexeditor工具打开某张图片如下图：

有了这些知识，我们就可以分离一张图片中隐藏的其他文件/信息。

可见，在图片中还隐藏了其他文件。或者用foremost工具自动分离图片和其他信息，工具命令：foremost 123.jpg，此时会在当前目录下生成一个output***文件夹。

OK,打开rar文件夹，里面的txt文件内容就是隐藏的flag。

拓展：图片马的原理也是将一个马文件和一张图片两个文件以二进制方式连接起来，图片查看器会忽视FF D9结束符之后的内容,所以图片马也能够正常打开，但该图片内有猫腻。