从LSB隐写到Nihilist密码：一次完整的Misc实战解密之旅

1. 初见PNG：从普通图片到隐写疑云

那天我正刷着CTF题目，随手点开一张名为keyword.png的图片。表面上看这就是张普通风景照，但直觉告诉我事情没那么简单——毕竟在Misc领域，越人畜无害的文件往往藏着越深的套路。

我先用file命令检查了基础信息，确认确实是PNG格式。用xxd快速扫了眼十六进制，没发现异常文件尾或隐藏数据。这时候常规操作就该上Stegsolve了，这个Java写的隐写分析工具堪称Misc选手的瑞士军刀。在Analyse→Data Extract界面勾选Red/Green/Blue的LSB（最低有效位）通道后，果然在蓝色通道看到了不自然的ASCII字符片段。

提示：LSB隐写就像用荧光笔在白色画布上写隐形字，肉眼看不出来，但用特殊滤镜就能显现。每个像素点的颜色值最后一位稍微改动，人眼根本察觉不到差异。

2. 工具链作战：三管齐下挖数据

光靠Stegsolve还不够，我习惯多工具交叉验证。用zsteg扫描时发现了更可疑的提示："疑似存在LSB隐写数据，建议提取0-2bit平面"。这时候binwalk跑出来倒是干净的，说明不是文件拼接类隐写。

最终锁定cloacked-pixel这个专门对付LSB隐写的Python工具。安装时遇到个小坑：需要先装Pillow库处理图像。运行命令时关键要指定密码参数：

python lsb.py extract keyword.png out lovekfc

这里有个细节容易翻车：密码"lovekfc"必须和加密时用的完全一致，包括大小写。有次比赛我就因为手滑输成"LoveKFC"，白折腾半小时才反应过来。

3. 密码疑云：当Nihilist遇上KFC

提取出的字符串"PVSF{vVckHejqBOVX9C1c13GFfkHJrjIQeMwf}"明显是加密后的flag。开头格式变形但保留了大括号结构，这提示可能是替换密码。题目描述里的"keyword"和工具密码"lovekfc"形成双重暗示——八成是Nihilist密码，一种基于关键词的置换加密。

我手工建了置换表：先按顺序写入LOVEKFC，再补全字母表剩余字母（去掉重复的V和E），得到：

L O V E K F C A B D G H I J M N P Q R S T U W X Y Z

解密脚本的关键在于处理大小写匹配。我最初直接用table.index()查找，结果遇到小写字母就报错。后来改成先判断大小写再分别处理：

table = 'LOVEKFCABDGHIJMNPQRSTUWXY' for char in ciphertext: if char.islower(): flag += string.ascii_lowercase[table.lower().index(char)] elif char.isupper(): flag += string.ascii_upper[table.upper().index(char)] else: flag += char # 保留花括号等符号

4. 踩坑实录：那些年绕过的弯路

第一次跑脚本输出乱码时，我差点怀疑人生。后来发现是漏了字母去重——原始字母表有26个位置，但LOVEKFC去掉重复字母后实际只有21个唯一字符。修正后的置换表需要排除Z，否则会引发索引越界。

另一个隐蔽的坑是密码表顺序。有队伍把关键词放在字母表开头后直接按ABCD顺序补全，结果解出来的flag始终差几位。正确做法应该是：先写关键词（去重），然后按字母序补全剩余字母（跳过已出现字母）。

最终flag"QCTF{cCgeLdnrIBCX9G1g13KFfeLNsnMRdOwf}"弹出那刻，我对着KFC的脑洞密码会心一笑。这种把快餐品牌名当密钥的操作，倒是很符合CTF出题人恶趣味。