话说最近在做的ksnctf里面的题目种类还真是丰富啊,今天遇到一道forensic的题目,也是第一次做这类题。
题目给了一个img文件。我最开始是直接用mount
挂载,发现有3个jpg文件,但分析不出来这些图片有没有隐写。
后来在网上搜了下,这道提不是stegano,而是forensic。按照推荐,我安装了autospy,它还需要Sleuth Kit。
安装玩autospy后,启动会得到一个地址http://localhost:9999/autopsy,访问就进到autospy的界面。我创建了一个测试用的case,打开img文件,这下就可以看到很多内容,而不仅仅是之前得到的3副图片。
具体地,有一些文件是处于”Deleted File Recovery Mode”,包括一个Liberty Leading the People.jpg
文件。此外,还有从Liberty Leading the People.jpg:00
到Liberty Leading the People.jpg:06
,而这些每个的内容都是3个字符,而从前几个看到了FLAG_
。于是将其拼起来,就得到了flag。