CTF—GIF文件格式、隐写方法及案例

已于 2024-08-07 12:50:57 修改
阅读量3.8k 收藏 14
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 笔记 总结经验 渗透测试 文章标签: 网络安全 CTF 图片隐写
于 2024-08-07 11:58:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41905135/article/details/140987886

基本概念

GIF(Graphics Interchange Format)是一种用于图像的文件格式,广泛应用于网页和社交媒体。它具有以下几个特点:

​ 1. 颜色限制:GIF使用8位颜色深度,最多可以显示256种颜色。这些颜色来自一个调色板,这使得GIF适用于简单的图形和动画。

​ 2. 无损压缩:GIF使用Lempel-Ziv-Welch (LZW) 算法进行无损压缩,能够在不损失图像质量的前提下减小文件大小。

​ 3. 支持透明度:GIF支持单一颜色的透明选项,使得背景能够透过图像显示。

​ 4. 动画支持:GIF允许将多个图像帧以序列方式存储,从而创建简单的动画效果。

​ 5. 元数据:GIF文件中还包含一些控制信息,如图像尺寸、帧延迟等。

​ 一个GIF文件的结构可分为文件头(File Header)、GIF数据流(GIF Data Stream)和文件结尾(Trailer)三个部分,GIF文件结构如下表所示:

GIF 文件头部
1. 署名 47 49 46对应ASCII码(GIF)
2. 版本号 3字节组成(“87a”)或者(“89a”)
GIF数据流
2. 图像宽度
3. 图像高度
全局颜色表
4. 全局颜色表大小
5. 位深度
6. 保留位
7. 帧间延迟
- 最大256种颜色,每种颜色占3字节
图像数据块
1. 图像左上角坐标 (X, Y)
2. 图像宽度
3. 图像高度
4. 本地颜色表(可选)
5. 压缩图像数据 (LZW)
6. 帧延迟(用于动画)
7. 透明色(可选)
结束标记
0x3B (分号字符)

GIF隐写方法

隐写术(Steganography)是指将秘密信息隐藏在其他数据中,以避免被检测。对于GIF格式,可以采用以下几种隐写方法:

  1. 像素修改
    • 在GIF的颜色表中,我们可以通过微小地修改某些像素的RGB值来嵌入信息。例如,将某个像素的红色分量或蓝色分量增加或减少1,以此来表示0或1。
  2. 帧间隐藏
    • 在GIF动画中,可以利用不同帧之间的差异来隐藏信息,例如,通过改变某些帧的特定像素来存储数据。
  3. 使用透明像素
    • 利用GIF的透明色特性,可以在图像中添加一层透明像素,并在这些透明区域内存储数据。
  4. 重复图像
    • 在GIF中复制某些图像帧,稍微修改这些帧的数据,从而在视觉上不易察觉,同时隐藏信息。
  5. 改动颜色表
    • 对于不显著影响整体外观的情况下,可以对GIF的颜色表进行细微修改,以嵌入数据。
  6. 延迟时间
    • 在89a版本中,GIF添加了图形控制扩展块,它是可选的,可以放在一个图像块或文本扩展块的前面,用来控制跟在它后面的第一个图像(或文本)的渲染形式。这一部分有一个“延迟时间”字段,其单位为1/100s(也就是10ms),如果“延迟时间”字段的值为n,则表示暂停10nms后再继续处理数据流。

文件结尾是一个字节的固定值0x3b,用来指示整个文件的结束。

在CTF比赛中,GIF也是高频考点。重点介绍三种常见的GIF隐写方法:

​ 1)追加插入法隐写,就是在GIF文件后插入其他文件。这种隐写非常容易识别。在010 Editor中利用GIF模版进行解析,如果文件结尾后还有其他数据流,那么很可能在GIF后附加了其他文件,将附加数据提取出来做进一步分析即可。

​ 2)基于图像的隐写。GIF中可以包含多个图像,出题人可以在某幅图像傻姑娘隐写信息。我们需要分离出GIF的每幅图片,并针对每幅图片进一步分析。

【例题】Basic.png

【题目来源】2019中石油集团决赛

【题目描述】找到文件中隐藏的信息

【解题思路】把图像放入010 Editor, 根据文件头“GIF89a”,打开PNG模版直接报错,并停止模版加载,下图黄条所示。发现文件应该是GIF文件,但原文件后缀错误。

在这里插入图片描述

修改后缀后,使用工具gifsplitter.exe分离GIF中的图像,得到三幅图片,在第2幅图片的底部看到flag{cad39e0e-46cf-498e-a971-84863365f13a}。如下图所示:

Screenshot 2024-08-07 at 09.10.29

在这里插入图片描述

3)基于时间的隐写。这种方式非常隐蔽,因为GIF中的每幅图像都会有延迟时间,可以约定不同的延迟时间代表不同的含义,例如延迟100ms代表1,延迟50ms代表0,从而达到传输秘密信息的目的。

【例题】SimpleGIF.gif

【题目来源】2017Xman选拔赛

【题目描述】找到文件中隐藏的信息

【解题思路】GIF文件不能正常打开,将其拖入010 Editor查看,发现缺少头部数据。根据GIF文件头格式,GIF的文件头是“GIF87a”或者“GIF89a”。由于“89a”版本是对“87a”版本的扩充,当不确定GIF版本时,统一按“89a”版本处理即可。因此,我们在头部插入6字节:47 49 46 38 39 61。如下图所示:
在这里插入图片描述

下面利用010 Editor在文件中修改文件头,如果右下角是OVR(覆盖),点击一下转成INS(插入),如下图所示:

Screenshot 2024-08-07 at 09.56.02

在第一个字节前单击鼠标左键,然后直接输入“47 49 46 38 39 61”即可,改为“GIF89a”。如下图所示:

在这里插入图片描述

将修改后的文件另存为新文件SimpleGIF-new.gif。双击新的GIF文件能够正常显示,说明我们已经修改成功。然后通过工具gifsplitter.exe分离GIF图下,在图像中没有发现明显的flag。

在这里插入图片描述

查看图像延迟时间,如下图所示,前两幅图像的延迟时间660ms,从第3幅图像开始,有的是200ms,有的是100ms,猜测可能是利用延迟时间的不同来 隐藏信息。

在这里插入图片描述

我们介绍两种提取延迟时间的方法。

方法1: 在Linux系统下使用命令:

identify -format "%s %T \n" SimpleGIF.gif

方法2: 修改010 Editor的GIF模版,择Open Template,可以打开GIF.bt文件,如下图所示:

在这里插入图片描述

在GIF模版中添加打印命令,如下图所示:

Screenshot 2024-08-07 at 10.21.53

然后选择Run Template,运行修改后的模版解析文件,解析结果会显示在Output窗口,如下图所示:

在这里插入图片描述

显示Output就能看到解析结果,如下图所示:

在这里插入图片描述
猜测不同的延迟间隔代表不同的含义,一般默认的间隔是相同的。使用文本编辑器Notepad++替换功能,利用正则表达式替换,将“delay time:”替换为空字符串;再使用一般替换把66替换为空字符串,尝试将20替换为0,10替换为1,替换后的结果如下图所示:
Screenshot 2024-08-07 at 10.33.04

替换后的结果如下图所示,这里没有去除换行符,

在这里插入图片描述
在这里插入图片描述
将替换后的01字符串和换行符全部复制、粘贴到Koczkatamas工具的BIN行即可按8比特为一组进行解析,得到的flag是:XMAN{96575beed4dea18ded4735643aecfa35}。如下图所示:
Screenshot 2024-08-07 at 11.45.08

29、GIF 图像术技术综述
ios99的博客
06-18 28
本文综述了多种基于GIF图像的术技术,详细介绍了它们的工作原理、优缺点及适用场景。通过对技术的全面比较,分析了其在图像质量、安全性及实现复杂度方面的表现。此外,还探讨了未来可能的技术改进方向,为研究和应用提供了参考。
bmp、jpg、gif图片
05-24
对BMP图片文件头冗余、数据区、尾部追加;对jpg文件冗余头,数据区、尾部追加;对gif文件头,尾部追加。以及对图片藏信息的分析提取,是否藏信息
GIF图片
Ahco_的博客
11-04 1680
非常简单的题,buuctf的第一个题,用Stegsolve工具打开该gif 然后打开analyse中的frame browser。 逐帧查看,即可得到flag flag{hello hongke}
GIF文件格式方法
chenran0111的博客
01-30 2225
GIF中可以包含多个图像,并且每个图像都是一帧一帧播放的,如果其中有几个图片存在藏信息,人眼很难看出来。一个GIF文件可以包含多幅图像,一幅图像结束之后紧接着是下一副图像标识符,图像标识符以"2C"这个字节开始,紧接着就是图像的性质,包括对于逻辑屏幕边界的偏移量,图像大小以及有无局部颜色列表和颜色列表大小。第7位:局部颜色列表标志,1表示有全局列表,6:交织标志,置位时图像数据使用交织方式排列,5:分类标志,如果置位标志紧跟着局部颜色列表分类排列,3-4:保留,必须初始化为0,0-2:局部颜色列表大小。
图片(一)-GIF
weixin_51706044的博客
03-15 7493
文章目录GIF GIF 术在CTF中出现时,常常会和加解密结合起来一起出现,或者是一些编码方式一起出现,以提高题目的难度 iscc2014中有一个题目,给了一个名为此为gif图片.gif的文件,接下来以本题进行解析: 打开图片之后: 发现文件受损,因此我们需要去修复文件:这对我们对于图片的文件结构要有了解。找到gif文件格式,然后对照 这个破损的文件。Gif图片格式文档可以查看这个链接:http://dev.gameres.com/Program/Visual/Other /GIFDoc.htm 用
实验吧术WP(五)
Yale的博客
04-02 4426
1.so beautiful so white(http://www.shiyanbar.com/ctf/1904) 解压后得到png,zip png是空白的,ss看看,发现key 用其来解压zip,得到gif,不过gif显示不出,目测是少了文件头,用winhex补16进制的文件头或者notepad++直接加GIF8也行,保存后就可以打开了 发现是动图,于是用ss的frame brows
从0开始学杂项 第四期:分析(3) GIF图片
CHTXRT的博客
01-18 2725
主要讲了讲CTF分析中的 GIF 图片
jpg图片后如何提取/ctf图片-零开始信息安全自学
程序员六七的博客
05-16 1853
我正在参加「创意开发 投稿大赛」详情请看:掘金创意开发大赛来了!引子对于JPG大家应该是非常熟悉了(文件头: 文件尾:FF D9)
GIF
KakeruJ的博客
04-28 4062
CTF DAY1的倒数第二题: 首先 打开图片 发现打不开 用010 Editor 发现图片开头少了文件头 添加文件头 使得图片能够看到 这时候打开图片 发现 密码一闪而过 这时候 用到另一个软件 Namo_Gif 打开刚刚已经恢复好的GIF 可以清楚的看到每一帧 对于每一帧 修改他的第254bit色位,将他们都改成同一颜色 如黄色 此处省略… 拼接起来最后得到了 {Y2F0Y2hfd...
CTF 图像Python脚本处理
z2bns的博客
09-12 4001
CTF中经常会遇到很多图片题目需要使用脚本来解题,最常用到的就是使用python中的PIL库,所以如果要更好的解出图片相关处理的题目,掌握好这个库的使用是必要的。本期就来给大家介绍下这个库的基本使用和几道图片题目的解题思路。 0x00 PIL vs Pillow 首先介绍PIL这个库,PIL:Python Imaging Library,该库虽然是第三方库,但是俨然已经成为了图像处理的官方库。官方手册:https://pillow.readthedocs.io/en/latest/h.
用于GIF图像自适应嵌入的分析技术
03-13
用于GIF图像自适应嵌入的分析技术
hip21_en_用于gif
03-12
hide in picture,图片工具
此为gif图片图片题目,要的自取
07-20
此为gif图片,多的不介绍了,相信能点开我这个资源的一定是看过我文章的,我就不多讲了,要的自取
CTF---图片
那酷小样的博客
08-22 8514
一、查看图片的基本信息 1、查看基本属性 2、查看图片十六进制源码信息 推荐工具:notepad++、winhex(主推) (1)jpg图片源码 (2)png图片源码 (3)。。。 二、图片色道通道方式藏 利用工具stegsolve打开图片,左右查找即可 三、改变图片文件的高度 1、对于png文件,其第二行第六列是高度位,改这一位即可; 2、对于...
CTF图片入门
huster0828的博客
11-10 3373
判断图片类型 根据图片的后缀名不能准确的判断图片的类型,但通过图片文件头部分析能获得图片的类型。(查看的时候打开命令行终端,cd到图片目录下,binwalk一下就ok啦) 在windows下安装ubuntu子系统,c盘路径在/mnt/c中 常见图片文件的文件头标志 1.JPEG 文件头标识(2 bytes):0xff.0xd8(SOI)(JPEG文件标识) 文件结束标识(2 bytes):0xff,0xd9(EOI) 2.TGA 未压缩的前5字节 00 00 02 00 RLE压缩的前五字节
CTF题目中关于图片
晨暮的博客
03-28 6510
CTF中关MISC类型的题很多,接下来我们来看一个图片的例子首先在网页上下载我们的题目,会发现是一个未知的文件然后我们用工具打开会发现是一段乱码经过查找我们大概能够确定这是一个图片文件或者是一个可运行的EXE类型的程序更改后缀名我们会发现是一个图片这时我们可以大概认定这是一个关于图片的题目了我们用工具打开剥离图层我们能发现Flag:QWB{W3lc0me}提交,答案正确         ...
两道图片CTF
qq_39763436的博客
04-09 4570
题目链接:https://pan.baidu.com/s/1wfcn0wMs1G3zbz94CWjpwQ 提取码:dbb5 解题思路 1.查看图像属性详细信息是否有藏内容 2.利用winhex或nodepad++打开搜索ctf,CTF,flag,key等关键字是否存在相关信息 3.检查图像的开头标志和结束标志是否正确,若不正确修改图像标志恢复图像,打开查看是否有flag或ctf信息,(往往gif属于动图,需要分帧查看各帧图像组合所得数据 若不是直接的ctf或flag信息 需要考虑将其解码) jpg图像开始
CTF---图片
dakhda的博客
07-30 2130
【代码】CTF---图片
ctfgif提取例题
最新发布
03-30
### CTF竞赛中的GIF文件提取技术 在CTF竞赛中,GIF文件的术是一种常见的挑战形式。通过特定方法藏的信息可能被嵌入到GIF文件的不同部分,例如元数据区域或者文件末尾的数据流附加[^1]。 #### 追加插入法的检测与提取 一种典型的方式是在GIF文件后追加额外的数据流。这种方法可以通过以下方式进行检测和提取: - 使用十六进制编辑器(如010 Editor),加载目标GIF文件并启用模板解析功能。 - 如果发现GIF结构结束之后仍然存在未使用的字节,则这些字节可能是附加的数据流。 - 提取这部分多余的数据,并尝试将其保存为独立文件进行进一步分析,比如解压缩或查看其头部签名来判断文件类型。 #### 构造Phar反序列化的应用实例 除了简单的追加插入外,在某些高级题目中可能会结合PHP Phar对象实现更复杂的反序列化攻击场景。例如在一个案例中提到过file.php作为入口点引导用户去构造合适的payload触发漏洞条件完成任务目标[^3]。 以下是基于上述原理的一个简单示例代码片段用于演示如何读取一个可能存在附属信息的标准gif图像: ```python import struct def extract_gif_payload(gif_path, output_path="extracted_data.bin"): with open(gif_path, 'rb') as f: data = f.read() # GIF89a signature check if not data.startswith(b"GIF89a") and not data.startswith(b"GIF87a"): raise ValueError("Not a valid GIF file.") gif_end_marker = b"\x3B" end_index = data.rfind(gif_end_marker) if end_index != -1 and len(data) > (end_index + 1): payload = data[end_index+1:] with open(output_path, "wb") as out_f: out_f.write(payload) return True return False ``` 此脚本会查找给定路径下的GIF图片最后是否有非标准标记后的剩余内容,并把这些内容导出成一个新的二进制文件供后续研究使用。 ### 总结 对于参加CTF比赛的人来说理解各种类型的编码技术和蔽通信手段非常重要。掌握像上面介绍过的那些基础技巧可以帮助选手更快找到线索解决问题。同时也要注意学习最新的安全趋势和技术发展动态以便应对更加复杂的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bruce_xiaowei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值