自动篇

安装foremost,ubuntu下的命令是

sudo apt install foremost

接着执行下面命令

foremost -i attachment.php

显示

Processing: attachment.php
|foundat=solution.txtRCOAPOSNMBGNPK?

*|

故而提交RCOAPOSNMBGNPK

手动篇

这道题是一道经典的隐写题目,它把一个zip文件附加到了一个jpeg文件后面,zip文件的文件头标识是:504B0304,jpeg文件的标识头是FFD8FF,结尾标识是FFD9,使用UltraEdit查看attachement.php文件的十六进制内容:

Wechall Stegano Attachment (Stega... 的解法

我们看到了FFD9504B0304,也就是说这里就是jpeg文件和zip文件的连接处,从50这个字节开始到最后都是zip文件的内容,我们可以直接使用linux系统中dd命令来将attachement.php文件中的指定字节块复制到一个新建的文件中,在复制到时候我们需要跳过前面的jpeg文件内容所占的字节,zip文件的起始字节是4f06,转换成10进制是20230字节,所以我们的dd命令应该这样写:

dd skip=20230 if=attachment.php of=solution.zip bs=1

之后而我们在当前目录中得到文件solution.zip,使用压缩文件打开:

Wechall Stegano Attachment (Stega... 的解法

故而提交RCOAPOSNMBGNPK

参考:
WeChall Journal | 陈文青
WeChall Stegano Attachment - include_heqile的博客 - CSDN博客