文本隐写不仅指在文本内容中隐写信息,还包括在常见文档文件中隐写信息,例如在Word和PDF文档中隐写信息。
基于文本内容的隐写
在文本(即字符串)中隐写消息由来以久,英文中的大小写、正斜体,以及中文的“藏头诗”都属于这一范畴,如下“藏头诗”所示,
万物生辉共一色,
虽是冬日未觉寒。
新春佳节快临近,
人间处处是乐园。
“生日快乐”是隐藏在上面这首诗里面的。
基于Word文档的隐写
Word是Office套件中最为实用的工具,有doc和docx两种后缀。最简单的Word隐写方法是在文件属性信息中隐藏信息。由于Word本身是一个文本编辑器,通过写入白色文字、插入文本框或图形遮盖,以及利用Word自带的文字隐藏功能,均可实现信息隐藏。
【例题】basebase.zip
【题目描述】找到文件中flag
【解题思路】利用WinRAR查看文件,可以看到3个txt文件,需要用CRC碰撞获取txt的明文信息。解压密码是this_is_pass_word_。解压后有个Word文档,用苹果自带的文本编辑器打开这个文档直接在左上角显示出来Base64编码的字符串。如下图所示:
内容为OG5DRHEzNnNsU0g0RHljVlFvOVhoUjRhRjN1M3g4UGtQOGdrYjVydzVIdHBVZjNqSTJ0Mw==,经过Base64解码后为8nCDq36slSH4DycVQo9XhR4aF3u3x8PkP8gkb5rw5HtpUf3jI2t3,猜测是Base62编码。但是,使用离线工具无法对其解码,于是搜索在线工具,使用http://decode-base62.nichabi.com/再次解码,得到flag{a5e17f319ca5f546e51e6d8b45ab555b}。
如果文件后缀是doc,则其文件头是D0 CF 11 E0;如果后缀是docx,则文件头是50 4b 03 04,这与ZIP格式完全相同。无论word文档是哪种后缀,都可以把后缀改为.zip,然后解压,就可以看到文档的组织格式以及各个配置文件,在这些文件中可能有隐写信息。
【例题】miscmisc.zip
【题目来源】2019湖湘杯
【题目描述】找到文件中的flag
【解题思路】解压后有个PNG文件,用010 Editor打开文件,发现这个PNG文件尾部插入了ZIP压缩包。提取出压缩包后解压,发现有两个文件chadiand.zip和chayidian.jpg。**如果提取压缩包失败,直接另存为ZIP格式也可以。**解压chadiand.zip需要密码,而我们并不知道其解压密码。通过查看压缩包,可以看到该压缩包中有两个文件,其中一个文件是flag.txt,另一个文件是flag.zip。
把chayidian.jpg用010 Editor打开,发现以PNG格式开头,在图像尾部还有一个ZIP压缩包,提取出该压缩包后保存为ex.zip。ex.zip解压后得到一个flag.txt文件,想到chadiand.zip中也有一个flag.txt文件,比较两个压缩包中的flag.txt文件的CRC值,如下图所示:
很明显提示我们需要ZIP已知明文攻击,如下图所示,
解压该文件后再解压flag.zip,得到3个文件:whoami.zip、world.doc和world1.png。先对world1.png使用“三板斧”,通过zsteg发现提示:pass:z^ea。
打开world.doc后没有看到有啥有用的内容,修改文件后缀为world.zip,解压后在WorldDocument中看到隐藏的信息,如下图所示:
这是正常打开Word时没有显示的内容。接下来把“zea”和world.doc中隐藏内容的每行最后一个字符拼接起来,得到zea4zaa3azf8,把它当作解压whoami.zip的密码,解压后就得到flag{12sad7eaf46a84fe9q4fasf48e6q4f6as4f864q9e48f9q4fa6sf6f48}。
【例题】CTF.docx
【题目描述】找到文件中的flag
【解题思路】在文件属性信息中没有发现线索,打开word文件也没有看到flag。于是,把文件后缀改为.zip并解压,解压后的文件较多,可以逐个打开查看。这里我们使用工具FileLocatorPro(官网地址https://www.mythicsoft.com)。该工具不仅能按文件名查找文件,还可以直接检索Word、PDF等文件中的内容。如下图所示,在theme.xml中有flag:a2fcb07f30e2ef22b7362eb55d366fbc。
