CTF — MP3文件隐写

CTF — MP3文件隐写

MP3音频隐写除了利用波形图和频谱图，还可以用专门隐写工具或者利用其头部冗余字段实现隐写。MP3Stego是最早出现的一款基于MP3的隐写软件，它在MP3编码过程的内循环实现秘密信息的嵌入，通过编码参数块长度的奇偶性来实现秘密信息的嵌入。该算法的优点是通过将嵌入操作引入的噪声融入量化噪声，使得该算法具有很好的不可感知性。

UnderMP3Cover是另一种典型的压缩或音频隐写工具，它是通过修改全局增益的最低有效位来实现隐写的，本质上是LSB隐写方法。

【例题】apple.zip

【题目来源】实验吧平台

【题目描述】找到文件中的flag

【解题思路】解压后得到一幅PNG图像，中间有一个二维码，扫码后得到：\u7f8a\u7531\u5927\u4e95\u592b\u4eba\u4e2d\u5de5。“\u”是Unicode编码，可使用工具包中的“文本与Unicode码转换小工具”解码，使用方法如下图所示。注意，图中分隔符号要根据实际情况进行修改，并选择正确的进制。

下面我们简单介绍一下Unicode编码。在严格的ASCII码中，每个字符用7比特表示。而计算机上普遍使用8比特表示一个字符，8比特最多可以表示256个字符，明显不能满足通过一种编码表示各种语言的需要。Unicode使用16比特表示一个字符，这使得Unicode能够表示世界上绝大多数的文字和符号。

将扫码得到的Unicode字符串转位中文：羊由大井夫人中工。这是一种加密方式，称为“当铺密码”。当铺密码的基本原理就是：一个汉字中有多少个出头的笔画，就对应相应的数字。据此进行解密，上述汉字即可转换成数字：9158753624。

继续对该PNG图像进行分析。将图像拖入010 Editor后，在PNG图像的尾部发现一个RAR压缩包，提取并解压该包后得到apple.mp3文件，结合之前发现的数字，很可能需要用MP3Stego提取信息。

我们使用MP3Stego中的Decode.exe。这里有一个使用技巧，需要把MP3文件复制到和Decode.exe相同的文件夹下，否则可能运行失败。如下图所示，运行后自动生成apple.mp3.pcm和apple.mp3.txt两个文件，打开apple.mp3.txt发现隐写信息：Q1RGe3hpYW9fcGluZ19ndW99，经过Base64解码得到flag：CTF{xiao_ping_guo}

MP3除了使用专门工具，还可以利用其文件格式中的冗余信息实现信息隐藏。例如，MP3文件中每个帧的帧头部都有隐私比特（Private Bit），修改该比特不会对MP3播放产生影响，因此可以在每一帧中隐藏1比特信息。

【例题】3.mp3

【题目来源】2019泰山杯

【解题思路】将该文件用010 Editor打开，没有发现明显的追加插入；用Auacity打开，波形图和频谱图也没有明显异常。在010 Editor中，仔细观察每一帧的头部信息，发现private_bit不相同（而该字段一般默认0），因此在该字段可能存在隐写，如图所示：

修改010 Editor中的MP3模板文件（MP3.bt文件的第373行已经被修改，可以直接使用），提取出每帧的private_bit，解析结果会显示在Output窗口中。在Output窗口中单击鼠标右键，选择“Copy All”复制所有运行结果，如下图所示：

在解析结果中，“0，0”是我们需要的输出结果，逗号前的整数表示第几帧，逗号后的整数表示该帧中private_bit字段的值。在输出结果中还有其他解析结果，我们只保留需要的内容，删除其他字符串，如下图所示：
接下来，提取每一行中逗号的整数，可以利用编辑器的正则表达式替换功能，将逗号前的整数和逗号替换为空字符串，替换规则如下图所示。将替换后得到的01字符串和换行符全部复制，粘贴到Koczkatamas工具包的BIN行，即可按8比特一组解析，解码后的文本: flag{1j5^XNt_Seem_s0_cl3ver_t0_find_f1ag!}。