roger

2万积分	41 好友	1168 主题

发消息

[Misc] 巍然不动 wp

发表于 2021-5-17 12:45:55 | 查看: 3010| 回复: 0

题目描述

隐写题。\"I am not crazy, my mother had me tested.\" (Sheldon) What did Sheldon ... huh sorry, Dr. Cooper really mean? 请下载wrbd.zip。

题目分析

文件类型: .\wrbd.exe: PE32 executable (GUI) Intel 80386, for MS Windows

运行只显示一张谢耳朵图片

binwalk可以提取一些东西, 但效果不太好, 用foremost提取信息, 可以获得Stegano-BMP压缩包, 一个有密码的pdf文件

可能的思路就是: 先提取谢耳朵图片, 然后用Stegano-BMP解出图片的隐藏信息(应该就是pdf文件的密码), 给pdf文件输入密码, 得到flag

使用CFF Explorer的Resorce Editor可以直接把bmp文件保存下来
通过Stegano-BMP压缩包的注释可以在github搜到原项目, https://github.com/feider/Stegano-BMP, 虽然不搜也可以, 按Readme的步骤编译, 使用decrypt解密bmp, 内容为'3'
把'3'作为密码, 解密pdf, 失败......

我的思路就到这里结束了, 因为找不到pdf密码, 下面是看wp做的补充

pdfcrack, 如果kali没装的话, 可以在这里下载编译: https://sourceforge.net/projects/pdfcrack/
使用命令:

./pdfcrack  -w rockyou.txt -f 00000000.pdf

密码秒出:

PDF version 1.5
Security Handler: Standard
V: 2
R: 3
P: -1028
Length: 128
Encrypted Metadata: True
FileID: 001b62552dee6ce9fdc2b442e9f0cc0b
U: fdaee14bbe641f80b7e43e2b1b29358700000000000000000000000000000000
O: d03d46c7c843771542245350273096ebf319e82bbeb82a3326e43a2ccfeaf2ff
found user-password: 'sheldon'

解密pdf文件, 就看到flag字符串了
StephenHawkingSpentSomeTimeOnSteganoTrolling

温馨提示：

1.如果您喜欢这篇帖子，请给作者点赞评分，点赞会增加帖子的热度，评分会给作者加学币。(评分不会扣掉您的积分，系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可，还可以获得学币奖励，请尊重他人的劳动成果，拒绝做伸手党！
3.发广告、灌水回复等违规行为一经发现直接禁言，如果本帖内容涉嫌违规，请点击论坛底部的举报反馈按钮，也可以在【投诉建议】板块发帖举报。

巍然, 不动

论坛交流群：672619046

收藏0 回复显示全部楼层道具举报打印