BugKu-图穷匕见

拿到图片后，先放到winhex，看看文件头是不是和jpg匹配，看看文件尾，不是FFD9 ，说明后边肯定是藏了什么东西。 顺便找一下文件尾有没有flag(估计是签到题目才会这样吧)。
binwalk跑一下。

发现分离不出什么东西，但是又被改过。

然后去看看是不是LSB，也没有发现什么。其实在这里我就犯了一个学生最容易犯的错，让惯性思维给左右了。我做这种题目，总是能够在binwalk里边分理出图片或者压缩包，那是因为人家本来就在后边给你添加了个，binwalk也是根据文件头文件尾给你分离文件。可是这次并不是这种图片之类的。搜索十六进制的FFD9，然后发现就一个，看截图：

FFD9后边的看起来并不像是平时遇到的，感觉有点奇怪，后边的内容全部都是这样。

在这个FFD9之后，观察一会，原始数据中存在a，c，可以判断是原始数据是16进制。那我们当然要转化为我们能看懂的格式，这里不要瞎转，不要扯上url，base64，之类的。逆向思维，你觉得什么编码或者转码后能成为16进制，2，8，10？可就算我们转化去，估计还是看不懂啊，不过我们能看懂ascii码阿。
我们先把数据取出来(注意啊，取得时原始数据)，放notepad++里面，什么都行，能转ascii就行，你直接放winhex里也行。

最后发现这是很多的坐标，和题目的提示"你会画图吗？"吻合了。

用kali下的gnuplot，不过的先把坐标保存为txt，并且符合他的格式，没有，() 直接在notepad++里面crtl+f全部替换就行了。

kali下：

flag{40fc0a979f759c8892f4dc045e28b820}