小苹果WP(实验吧-隐写术)

本文由荒原之梦原创，原文连接：http://zhaokaifeng.com/?p=706

前言：本文是实验吧训练题库里隐写术部分的一道题：“小苹果”的Write Up.

题目连接：http://www.shiyanbar.com/ctf/1928

解题文件：

观察题目发现这很像是一个二维码，拿手机扫描一下获得这个：

\u7f8a\u7531\u5927\u4e95\u592b\u5927\u4eba\u738b\u4e2d\u5de5

这是一串Unicode编码字符，使用Unicode转中文：

转码地址：http://tool.chinaz.com/Tools/Unicode.aspx

转换获得：

羊由大井夫大人王中工

这是CTF中常出现的一种“当铺密码”
当铺密码百度百科地址：当铺密码
当铺密码的原理就是一个汉字中有多少个出头的笔画就对应相应的数字，根据当铺密码解密，上述汉字转换成数字就是：

9158753624

咱们猜想这多是一个解密密码。

既然有了解密密码，并且咱们手里只有一个文件，所以想到是否是会是解密压缩包呢。咱们拿到的文件里并无压缩包，可是咱们能够尝试本身建立压缩包。

通过尝试咱们能够经过将apple.png改为apple.png.rar的方式构造一个压缩包。

以后右键解压会获得一个mp3文件apple.mp3.

这时咱们就想到了一个在CTF比赛中经常使用于从mp3文件中提取flag的工具mp3stego

mp3stego的使用方法能够参考这里：
http://www.petitcolas.net/steganography/mp3stego/

简单的命令格式就是：

decode -X -P password svega_stego.mp3

—预警：踩坑开始—
解压mp3stego后，我为mp3stego配置了一下Path环境变量:

C:\ctftools_other_01\MP3Stego_1_1_18\MP3Stego_1_1_18\MP3Stego

以后在apple.mp3所在的路径下输入：

decode -X -P 9158753624 apple.mp3

回车。

然而，回车以后并无获得flag，回车后返回的信息是：

能够看到，最后的返回结果是：

[Frame    0]OpenTable: could not find tables/huffdec
Check local directory './tables/'
Please check huffman table 'huffdec'

查找了一些资料，发现并无人在使用mp3stego以前配置了环境变量，每次使用mp3stego都是将须要解密分离的文件放到mp3stego所在的路径中使用。可是，此时我仍然想尝试一下是否是能够经过添加环境变量的方式我又尝试将mp3stego压缩包中的其余两个文件夹的路径添加到了Path环境变量里，发现上述问题依然存在，所以使用你们都在用的办法：

—警报解除：踩坑结束—

直接将MP3文件复制进C:\Users\master\Desktop\隐写\MP3Stego_1_1_18\MP3Stego目录 （即MP3Stego所在的目录），而后在该目录的路径框里输入cmd，以后回车即可以在该路径下打开cmd，以后输入：

decode -X -P 9158753624 apple.mp3

回车能够正常解密，解密完成后在该路径下面多出两个文件，分别是：

apple.mp3.pcm
apple.mp3.txt

打开apple.mp3.txt能够看到一串字符：

Q1RGe3hpYW9fcGluZ19ndW99

这是一段Base64编码的字符，使用Base64解码以后 就能够获得flag：

解码地址：http://base64.xpcha.com/

解码后获得flag：

CTF{xiao_ping_guo}