实验吧-隐写-FIVE1、so beautiful so white(文件头修改)

FIVE1

下载图片，kali下foremost恢复文件，将得到的图片用Winhex打开进行观察，发现最后面有一段貌似是代码的东西。

 

LS0uLi4gIC4tICAuLi4uLiAgLS0uLi4gIC4tICAuLi4uLiAgLi0gIC0tLi4uICAuLi4uLSAgLi4uLS0gIC0tLS4uICAtLS0tLiAgLi4uLi0gIC4tICAtLS0tLSAgLiAg

这是个base64编码，解码出来是一段摩斯电码：

--...  .-  .....  --...  .-  .....  .-  --...  ....-  ...--  ---..  ----.  ....-  .-  -----  .  

再将摩斯电码解码：

7A57A5A743894A0E

这个是个md5加密，解密之后得到的就是flag。

 

so beautiful so white(文件头修改)

将文件下载，需要从里面的图片中找到里面的压缩文件的密码。

用stegsolve查看能得到密码如图（大括号里面的）：

 将这个gif文件解压出来，用Winhex打开，发现文件头不对。

GIF文件的文件头应该是：47 49 46 38 39 61。

这个前面少了47 49 46 38，加上之后动态图片正常，然后用stegsolve打开，在Analyse->Frame Browser，一帧一帧查看，就拿到flag了。