iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 20
0
Security

CTF30系列 第 20

CTF 13: QR Checker (Misc/QR, SECCON 2018 Online CTF)

假 QR

要讓圖片在縮圖時會縮成不一樣的條碼,有兩種方向:

  1. 找一個只相差 1 個點的 QR code,然後可能塗黑一部分
  2. 找兩個相差不太多的條碼,相異處弄成在縮圖時會縮成整個 pixel 的地方,然後把他們合在一起

因為對影像處理不熟,但剛好之前有一則新聞:

一個條碼連到兩個網站,當心遇到「偽裝 QR code」 | TechNews 科技新報
【注意】QRコードに脆弱性 100人に1人の割合で別サイトに誘導する方法見つかる : はちま起稿

這是利用 QR code 有復原能力的機制,剛好找到一個只相差 1 個點的條碼來用。
如果拿神戶大學教授的圖來用,然後試著把那個點塗黑一些,就可以使程式在縮圖時成功縮成不同的網址。

PnKR2bv.png

ka9Po21.png

影像處理做法

這裏有一篇參考資料:

Smyghalloumi - CTF Write-up: QRChecker (SECCON 2018)


上一篇
CTF 12: QR Checker (Misc/QR, SECCON 2018 Online CTF)
下一篇
CTF 14: classic (Pwn, SECCON 2018 Online CTF)
系列文
CTF3030

尚未有邦友留言

立即登入留言