XDCTF网络安全大赛——Web100

打开网址 http://game1.xdctf.com:8083/f16c3b1ed800fc78e605/index.php

网页中显示了一张图片，图片名为hackkey.png：

还有一段文字：

话说，攻防，到底是先有攻还是先有防，到底有没有绝对的安全与绝对的不安全，仁者见仁智者见智，这不,杀软开始欺负一些工具流，但牛牛都不怕，他们总是有办法，道高一尺魔高一丈，你知道他们怎么过杀软的吗?找到key,你就明白了……………

查看网页源码，发现一段html注释：

<!-- <center><img src="src/2328266727 .png"></img></center>!-->

访问地址 http://game1.xdctf.com:8083/f16c3b1ed800fc78e605/src/2328266727 .png

可以看到一张二维码图片：

解密二维码后是一个网址：

http://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=200689499&idx=2&sn=76a5cb177facf0ca76dfcc2db7e135cf#rdRGB

访问网址后可以看到一篇文章：《【牛技术】恶意软件采用密写 把代码隐藏在图片中》，文章里有这么一段文字：

“潜伏”主要任务是一个下载器，用来下载后续的恶意代码，用来搭建一个进行点击欺诈的僵尸网络。“潜伏“的DLL资源区域带有一个BMP位图。而“潜伏”把恶意代码的URL放在了每个像素的颜色字节的最低位上。

所以可以猜测，key很有可能就藏在hackkey.png的像素颜色值的最低位上。

那么可以用python来获取图片的所有颜色值，并把所有颜色值的最低位提取出来：

python操作图片需要用到PIL(Python Imaging Library)库，可以通过easy_install PIL命令安装。如果使用Mac系统系统的话，还可以用brew install pillow来安装。安装PIL后就可以import Image库了。

# -*- coding:utf-8 -*-

import Image

image = Image.open("hack.jpg")
width, height = image.size

binary_string = ""
for y in range(height):
    for x in range(width):
        #获取坐标(x, y)处的颜色值
        r, g, b = image.getpixel((x, y))
        color = (r << 16) + (g << 8) + b
        #获取颜色二进制值的最后一位
        last_bit = str(bin(color))[-1]
        binary_string += last_bit

print binary_string

'''
结果为：
010110000110010000100100011001010100001101000000001100100110111100110001001101000000000000000000000000000000000000000000000......
'''

可见，开头有几十个颜色位隐藏了一些信息，后面的都是0说明没数据。

再将二进制数据转成字符串：

import binascii

#将2进制字符串转成16进制字符串
hex_string = "%x"%(int(binary_string, 2))
#截取偶数个字符，因为字符是奇数会报错
hex_string = hex_string[ : len(hex_string) / 2 * 2]
#输出16进制值对应的字符串
print "key :", binascii.a2b_hex(hex_string)

'''
结果为：
key : Xd$eC@2o14
'''

如果觉得代码比较麻烦的话，也可以使用神器StegSolve来找出图片中隐藏的信息，下载地址为：

http://www.caesum.com/handbook/Stegsolve.jar

用终端执行java -jar Stegsolve.jar运行StegSolve，点击File载入图片，然后点击Analyse–Data Exreact，出现以下界面。在Bit Planes里勾上Blue的第0位，再点击Preview按钮，就可以看到蓝色最低位组合成的字符：