从一张“坏掉”的PNG图片里挖出Flag:手把手教你用Python脚本修复图片尺寸(附CRC32碰撞实战)
从一张“坏掉”的PNG图片里挖出Flag:手把手教你用Python脚本修复图片尺寸(附CRC32碰撞实战)
当你兴致勃勃地打开一张CTF竞赛中的PNG图片时,却发现屏幕上只显示一片空白或错乱的色块——这种场景在Misc类题目中屡见不鲜。作为刚接触CTF的新手,你或许已经猜到需要修改图片尺寸,但为什么直接修改十六进制数值会导致图片彻底损坏?本文将带你深入PNG文件结构的核心,揭示IHDR块与CRC校验的奥秘,并手把手教你编写自动化爆破脚本。
1. PNG文件结构解析:为什么直接改尺寸会失败?
PNG文件就像精心设计的俄罗斯套娃,由多个被称为"数据块"(chunk)的结构组成。每个数据块都遵循严格的格式规范:
[4字节长度] + [4字节类型码] + [数据内容] + [4字节CRC校验]当我们用十六进制编辑器打开一张被篡改的PNG图片时,首先看到的是固定的文件头签名:
89 50 4E 47 0D 0A 1A 0A紧接着就是第一个关键数据块——IHDR(Image Header),它包含了图片的基础元信息:
| 偏移量 | 长度 | 内容 | 示例值(十六进制) |
|---|---|---|---|
| 0x08 | 4 | 块长度 | 00 00 00 0D |
| 0x0C | 4 | 块类型(IHDR) | 49 48 44 52 |
| 0x10 | 4 | 图片宽度 | 00 00 03 13 |
| 0x14 | 4 | 图片高度 | 00 00 01 F4 |
| 0x18 | 1 | 位深度 | 08 |
| 0x19 | 1 | 颜色类型 | 06 |
| 0x1A | 1 | 压缩方法 | 00 |
| 0x1B | 1 | 滤波方法 | 00 |
| 0x1C | 1 | 隔行扫描 | 00 |
| 0x1D | 4 | CRC32校验 | DA 5A 4A 50 |
关键问题:CRC32校验码实际上是从IHDR类型码(49 48 44 52)开始,到隔行扫描字节(00)结束的所有数据的校验和。当攻击者修改宽度或高度值时,如果没有同步更新CRC校验码,图片查看器就会拒绝加载这个"损坏"的文件。
2. CRC32校验原理与碰撞攻击
CRC(Cyclic Redundancy Check)是一种简单的错误检测编码,其核心特性包括:
- 对输入数据的微小变化极其敏感
- 固定生成4字节校验值
- 不可逆计算(无法从CRC反推原始数据)
在CTF比赛中,我们通常面临两种场景:
- 已知CRC求原始数据:当文件较小时(如4字节),可以通过暴力枚举所有可能值
- 已知部分数据求另一部分:在PNG尺寸修改中,已知CRC和部分IHDR数据,求正确的宽度或高度
以下是CRC32算法的Python实现简析:
import binascii def calculate_crc(data): return binascii.crc32(data) & 0xffffffff # 示例:计算IHDR块的CRC ihdr_type = b"IHDR" width = struct.pack(">i", 787) height = struct.pack(">i", 500) other_params = bytes([8, 6, 0, 0, 0]) crc_input = ihdr_type + width + height + other_params print(hex(calculate_crc(crc_input))) # 输出:0xda5a4a503. 自动化爆破脚本开发实战
下面我们开发一个完整的Python解决方案,自动寻找符合CRC校验的正确尺寸:
import binascii import struct def find_valid_dimensions(file_path, original_crc): with open(file_path, "rb") as f: data = f.read() # 提取IHDR块中除宽度高度外的固定部分 fixed_part = data[16:29] # 从IHDR类型码后到隔行扫描字节 # 爆破范围可根据题目提示调整 for width in range(1, 2000): for height in range(1, 2000): # 构造候选数据 candidate = data[12:16] # IHDR类型码 candidate += struct.pack(">i", width) candidate += struct.pack(">i", height) candidate += fixed_part # 计算并比较CRC crc = binascii.crc32(candidate) & 0xffffffff if crc == original_crc: return width, height return None, None # 使用示例 file_path = "corrupted.png" original_crc = 0xDA5A4A50 # 从文件末尾读取 width, height = find_valid_dimensions(file_path, original_crc) print(f"Valid dimensions: {width}x{height}")性能优化技巧:
- 使用多进程加速(
multiprocessing.Pool) - 根据题目提示缩小爆破范围
- 优先爆破高度(在CTF题目中高度被修改更常见)
4. 实战案例:修复损坏的CTF题目图片
让我们通过一个真实案例演示完整流程:
初步分析:
- 用hex编辑器查看文件末尾,找到IHDR块的CRC值:
DA 5A 4A 50 - 记录当前宽度高度值:
00 00 03 13(787px),00 00 01 F4(500px)
- 用hex编辑器查看文件末尾,找到IHDR块的CRC值:
执行爆破:
width, height = find_valid_dimensions("ctf_challenge.png", 0xDA5A4A50)修改文件:
- 用获得的正确尺寸(如787x787)替换原高度值
- 注意:必须保持大端序(big-endian)格式
验证结果:
- 图片成功显示,flag隐藏在之前被"截断"的区域
5. 防御措施与题目设计建议
对于CTF出题者,如何防止选手简单爆破?可以考虑:
- 增加图片尺寸范围(如3000px以上)
- 使用非标准CRC多项式
- 结合其他隐写手法(如IDAT块异常)
而对于参赛选手,这套方法同样适用于:
- 修复被恶意修改的文件头
- 恢复损坏的图片文件
- 分析其他基于CRC校验的文件格式(如ZIP)
掌握CRC碰撞技术后,你会发现CTF中许多看似复杂的Misc题目,其实都建立在这些基础知识的灵活运用之上。下次遇到"损坏"的PNG图片时,不妨先检查下它的CRC校验是否在讲述一个不同的故事。