打开网址 http://game1.xdctf.com:8083/f16c3b1ed800fc78e605/index.php
网页中显示了一张图片,图片名为hackkey.png: 
还有一段文字:
话说,攻防,到底是先有攻还是先有防,到底有没有绝对的安全与绝对的不安全,仁者见仁智者见智,这不,杀软开始欺负一些工具流,但牛牛都不怕,他们总是有办法,道高一尺魔高一丈,你知道他们怎么过杀软的吗?找到key,你就明白了……………
查看网页源码,发现一段html注释:
<!-- <center><img src="src/2328266727 .png"></img></center>!-->
访问地址 http://game1.xdctf.com:8083/f16c3b1ed800fc78e605/src/2328266727 .png
可以看到一张二维码图片:
解密二维码后是一个网址:
http://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=200689499&idx=2&sn=76a5cb177facf0ca76dfcc2db7e135cf#rdRGB
访问网址后可以看到一篇文章:《【牛技术】恶意软件采用密写 把代码隐藏在图片中》,文章里有这么一段文字:
“潜伏”主要任务是一个下载器,用来下载后续的恶意代码,用来搭建一个进行点击欺诈的僵尸网络。“潜伏“的DLL资源区域带有一个BMP位图。而“潜伏”把恶意代码的URL放在了每个像素的颜色字节的最低位上。
所以可以猜测,key很有可能就藏在hackkey.png的像素颜色值的最低位上。
那么可以用python来获取图片的所有颜色值,并把所有颜色值的最低位提取出来:
python操作图片需要用到PIL(Python Imaging Library)库,可以通过easy_install PIL命令安装。如果使用Mac系统系统的话,还可以用brew install pillow来安装。安装PIL后就可以import Image库了。
# -*- coding:utf-8 -*-import Imageimage = Image.open("hack.jpg")width, height = image.sizebinary_string = ""for y in range(height):for x in range(width):#获取坐标(x, y)处的颜色值r, g, b = image.getpixel((x, y))color = (r << 16) + (g << 8) + b#获取颜色二进制值的最后一位last_bit = str(bin(color))[-1]binary_string += last_bitprint binary_string'''结果为:010110000110010000100100011001010100001101000000001100100110111100110001001101000000000000000000000000000000000000000000000......'''
可见,开头有几十个颜色位隐藏了一些信息,后面的都是0说明没数据。
再将二进制数据转成字符串:
import binascii#将2进制字符串转成16进制字符串hex_string = "%x"%(int(binary_string, 2))#截取偶数个字符,因为字符是奇数会报错hex_string = hex_string[ : len(hex_string) / 2 * 2]#输出16进制值对应的字符串print "key :", binascii.a2b_hex(hex_string)'''结果为:key : Xd$eC@2o14'''
如果觉得代码比较麻烦的话,也可以使用神器StegSolve来找出图片中隐藏的信息,下载地址为:
http://www.caesum.com/handbook/Stegsolve.jar
用终端执行java -jar Stegsolve.jar运行StegSolve,点击File载入图片,然后点击Analyse–Data Exreact,出现以下界面。在Bit Planes里勾上Blue的第0位,再点击Preview按钮,就可以看到蓝色最低位组合成的字符:
