CTF Stegano练习之隐写初探

今天要介绍的是CTF练习中的Stegano隐写题型。做隐写题的时候，工具是很重要的，接下来介绍一些工具。

1、TrID

TrID是一款根据文件二进制数据特征进行判断的文件类型识别工具。虽然也有类似的文件类型识别工具，但是大多数都是使用硬编码的识别规则，而TrID则没有固定的匹配规则，TrID具有灵活的可扩展性，可以通过训练来进行文件类型的快速识别。

TrID通过附加的文件类型指纹数据库来进行匹配，可用于取证分析、未知文件识别等用途。

2、Audacity

Audacity是一款自由且免费的音频编辑器和录音器。它是在linux下发展起来的，有着傻瓜式的操作界面和专业的音频处理效果。使用Audacity可以帮助我们快速解决CTF中一些音频相关的题目。

这个实验还需要了解一些摩尔斯电码。

摩尔斯电码（Morse Code）是一种时通时断的信号代码，通过不同的排列顺序来表达不同的英文字母、数字和标点符号。是由美国人萨缪尔·摩尔斯在1836年发明。

摩斯码使用点（.）和横线（-）来表示各种字符，我们只需要知道某一串字符是摩斯码，然后使用解码工具进行解码即可。

实验内容和步骤

本次实验链接地址：《CTF Stegano练习之隐写1》

来看实验描述：在实验主机上的C:/Stegano/1目录下为本题所提供的文件，请对这些文件进行分析，找到一个flag{XXXX}形式的Flag字符串。

来看实验打开cmd命令行，切换到C:/Stegano/1目录，然后使用TrID对其进行文件类型识别，如图所示：

TrID对该文件的识别结果为：85.7%的可能性为XZ文件，14.2%的可能性为QuickBasic BSAVE文件。我们通过搜索引擎可以了解到XZ文件是一种压缩文件，因此可以使用7Zip进行解压（实验机器已经安装7Zip，右键选择通过7Zip解压即可）。

解压之后我们得到新文件hello_forensics~，仍然是一个没有扩展名的文件，我们再次使用TrID进行识别，得到的结果如图所示：

TrID认为这是一个OGG文件。OGG是一种音频文件格式，大家如果平时有留意的话，在手机上一定见过这样的文件，许多手机内置的音效就是以OGG文件格式存在的。

接下来就是要用到我之前提到的Audacity，使用桌面上的Audacity工具打开我们提取出来的OGG文件，默认会显示音频文件左右两个声道的波形图，如图所示：

按住键盘左下角的Ctrl按键，同时滚动鼠标滚轮即可对波形图进行放大或者缩小操作，这里我们将波形图进行放大，然后播放OGG文件，我们发现在中间的某一个区间内夹杂着一些“滴滴”的声音，实际上这里是播放的摩斯码，通过对声道的波形图观察，可以看到如下的特征。

在Audacity中，将波形图放得越大，就越能明显的看到对应的摩斯码特征，通过对声音波形图的分析，我们可以得到摩斯码（摩斯码从第18秒开始播放，如果两段“滴滴”声之间的时间间隔在7~8秒左右，则认为是两个不同的摩斯码之间的分隔，用空格表示，如果两段“滴滴”声之间的时间间隔在2~3秒左右，则认为是同一个摩斯码的内容）。分析后得到的摩斯码为“.- ... - .- .-. .. ... -... --- .- .-. -.”，打开桌面上的JPK，将摩斯码输入之后，依次选择菜单项“Ascii”、“Decode”、“DeMorse”，得到字符串ASTARISBOARN。

通过实验步得到字符串ASTARISBOARN，将其当做密码对压缩包进行解压测试，发现可以成功解压，得到一个PDF文件。这个PDF文件直接看上去似乎没有什么有用的信息，但是对其中的文字进行选择操作的时候，发现页眉和页脚中似乎有一些不可见的文字，如图所示：

这里我们通过Ctrl+A对其中的文本进行全选，然后粘贴到记事本里面去，得到两个可疑的字符串：

VjIweE5HRkdiM3BrUnpGT1UwVndjMWx0Y0ZkalJtd

zJWbTFhYUZkRk5XMVhiVFZYWkZWc1dVMUVNRDA9

我们解密一下，将两个字符串拼接起来后进行Base64解码，得到另一个字符串V20xNGFGb3pkRzFOU0Vwc1ltcFdjRmw2Vm1aaFdFNW1XbTVXZFVsWU1EMD0=，仍然是Base64加密，经过这样的几次Base64解码之后，最后得到字符串flag{f0ren5ic5_is_fun!}，这就是题目所要求要找的Flag字符串了。

CTF真是防不胜防，还顺便了解一下摩尔斯电码。这次实验真的是很有意思，解题过程比较简单，但是思路很重要。

https://www.freebuf.com/sectool/267346.html