2020上海大学生网络安全赛MISC可乐加冰

分析：

这是一道杂项类PNG隐写题，在PNG里隐藏了zlib压缩数据。

比赛时解到解压zlib对8346开头的字符串一筹莫展。赛后经群内大佬点化，茅塞顿开，遂复现如下：

复现：

题目附件是一张PNG图片：

丢到tweakpng里检测一下，发现两个报错：

分析发现三个IDAT块是没问题的，但是多出了一个无法识别的DATx块，而且没有识别出结尾块IEND，放进Winhex里查看也证实了这一点。

在Winhex中看出文件尾是不完整的，正常的文件尾应该是 0000 49454E44 AE426082

结合之前tweakpng里的报错：Incorrect crc for DATx chunk (is 9c4e1c00,should be 886b1f6d)，即DATx块的CRC校验码不正确，断定DATx中存在大问题。

（PS：注意一下这里tweakpng提示的CRC校验码不正确是因为DATx里藏了zlib把结尾的CRC校验码覆盖了，不要试着改回去，不然就把路走窄了，别问我怎么知道的！）

binwalk跑一下发现存在zlib：

在DATx块开头的地方也找到了zlib的文件头：

（这里选zlib一直选到文件尾也是可以的，解出来的字符串是一样的）

右键->Edit->CopyBlock->HexValues把16进制数值复制出来用Python脚本解压缩：


import zlib
import binascii#Winhex提取的十六进制zlib数据
data ="789C558EC111C02008049B72AE012736660DDBAF0449800FC7B8B0B89724E65E0259005EDFDE48441BD01CCFF0878BB958B1C38FA9F4532555091F2269C8BABAFEAD6B9B843C6EE000679C4E1C00"#默认将十六进制作为字符串解码，会出现错误，要将十六进制转换成字节码
data1 = bytes.fromhex(data)#十六进制转字节码
#print(data1)data2 = zlib.decompress(data1)#zlib解压字节码
#print(data2)data3 = binascii.hexlify(data2)#字节码转十六进制
print(data3)

跑出来一串纯数字的字符串：
b’834636363695438346369595364383469595954383469595364383463636363643834636363695438346369595364383469595364334453443834636953636438346369536954383463636953643834636369543344534438346369595438346369536954383463636363643834636363643344534438346369595364383463695953643834636369543834695363643344534438346363695364383463695369543834636369536438346369595954383469595364383469536954383463636363643834636953643834636369543834695369543834636959543834636369536’

每两位作一个十进制数，将字符串转为Ascii码（此处经大佬点化）

Python脚本每两位加空格：


import redata = "834636363695438346369595364383469595954383469595364383463636363643834636363695438346369595364383469595364334453443834636953636438346369536954383463636953643834636369543344534438346369595438346369536954383463636363643834636363643344534438346369595364383463695953643834636369543834695363643344534438346363695364383463695369543834636369536438346369595954383469595364383469536954383463636363643834636953643834636369543834695369543834636959543834636369536"
data_list = re.findall(".{2}",data)
data1 = " ".join(data_list)print(data1)

十进制转Ascii码+删除空格：（http://www.ab126.com/goju/1711.html）

转换后：

将S转为$:


str = 'S.$$$_+S.$__$+S.___+S.__$+S.$$$$+S.$$$_+S.$__$+S.__$+"-"+S.$_$$+S.$_$_+S.$$_$+S.$$_+"-"+S.$__+S.$_$_+S.$$$$+S.$$$+"-"+S.$__$+S.$__$+S.$$_+S._$$+"-"+S.$$_$+S.$_$_+S.$$_$+S.$___+S.__$+S._$_+S.$$$$+S.$_$+S.$$_+S._$_+S.$__+S.$$_$';str1 = str.replace('S', '$');print(str1)

转换后：

得到一串JJEncod码。
这里贴一点我对JJEncode的理解：
先看别处拿来的解释：

再看群内大佬的提示：

亲自尝试后发现这个JJEncode加密之后有一个外壳（就是你加密的JavaScript的代码，这里是alert("");）
（http://www.atoolbox.net/Tool.php?Id=704）

综上，解出来的JJEncode是里面那一串（相当于555），所以构造一个外壳之后是这样的：

注意不要少了与壳连接的+号，不然会报错无法运行。

放到浏览器控制台跑一下：

得到flag为flag{e901fe91-bad6-4af7-9963-dad812f5624d}

参考资料

PNG文件IDAT块隐写：
https://www.cnblogs.com/loo5mity/p/9537911.html
https://blog.csdn.net/qq_29647709/article/details/81876374
Python脚本对zlib的压缩解压详解和一些例子：
https://blog.csdn.net/qq_40574571/article/details/80164981

完结撒花！