ctf中的misc介绍（上）

最新推荐文章于 2025-04-12 10:26:27 发布

XIXINGNG

最新推荐文章于 2025-04-12 10:26:27 发布

阅读量2.7k

点赞数 34

文章标签： misc

本文链接：https://blog.csdn.net/2401_82388450/article/details/138355798

版权

1.使用linux中的file命令查看文件属性

2.使用010editer或者Winhex查看文件的文件头

3.既然会出现没有后缀的文件，那当然也会出现缺少头部的情况，可以根据后缀名来选择文件头部进行填充，如果没有后缀名，则查看文件尾部来判断文件类型。

文件分离操作

1.binwalk（binwalk工具在遇到压缩包时，会自动解压。）

2.formost

3.dd命令（相当难用，操作复杂，适用于解决难题):

常见的图片隐写：细微的颜色差别、GIF图多帧隐藏（图片通道隐藏、不同帧图信息隐藏、不同帧对比隐写）、Exif信息隐藏、图片修复（图片头修复、图片尾修复、CRC校验修复、长宽高修复）、最低有效位LSB隐写、图片加密（Stegdetect、Outguess、Jphide、F5）

图片混合

例题：

1.隐藏在动图之中（BUUCTF中的金三胖）

2.隐写图片的大小（BUUCTF中的大白）

3.隐写在图片的属性中(BUUCTF中文件中的秘密)

压缩包的分析

解题方式：

暴力破解加密密码（ARCHPR4.54）：

例题(BUUCTF中的rar)：

一、misc的介绍

MISC，中文即杂项，包括隐写，数据还原，脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。

二、使用到的工具

1、010editor

查看文件类型

2、Binwalk（kali自带）

合并文件

3、Notepad++

进行字符串处理

4、Stegsolve

图片隐写处理

5、audacity

音频隐写处理

三、相关题型

文件/图片操作与隐写

文件类型的识别

杂项题目主要是以文件附件作为题目，但是给的文件不一定是有后缀名的，这就需要我们识别这些文件

1.使用linux中的file命令查看文件属性

使用方法：
将文件复制到kail或者带有file工具的系统中，使用file查看文件。

将文件后缀名补上即可正常打开。
然后根据实际情况进行初步判断可能是什么类型的题目。

2.使用010editer或者Winhex查看文件的文件头

常见的文件头:

3.既然会出现没有后缀的文件，那当然也会出现缺少头部的情况，可以根据后缀名来选择文件头部进行填充，如果没有后缀名，则查看文件尾部来判断文件类型。

以下是常见的文件尾部：

(1)zip文件的结尾以一串504B0506开始。

(2)rar文件以C43D7B00400700结尾。

(3)JPG文件结尾为FFD9

(4)PNG文件结尾为000049454E44AE426082。

(5)Gif文件结尾为3B。

文件分离操作

1.binwalk（binwalk工具在遇到压缩包时，会自动解压。）

Binwalk是一个在Linux下用于分析和分离文件的工具，它能够快速判断文件是否由多个文件合并而成，并将其进行分离。如果分离成功，会在目标文件所在的目录下生成一个名为"文件名_extracted"的文件夹，里面存放着分离后的文件。

相关命令：

分析文件：binwalk filename

分离文件：binwalk -e filename
          binwalk -e .... --run-as=root

分析文件：

分离文件，会生成一个新的文件夹：

2.formost

如果binwalk无法正确分离出文件，可以使用foremost，将目标文件复制到kali中，成功执行后，会在目标文件的文件目录下生成我们设置的目录，目录中会按文件类型分离出文件。

该命令有的kali没有自带，可能需要额外下载：

sudo apt install foremost

命令：
foremost 文件名 -o 输出文件名

3.dd命令（相当难用，操作复杂，适用于解决难题):

当无法使用自动工具正确分离文件时，可以借助 dd 命令手动实现文件分离。

使用的格式：

dd if=源文件 of=目标文件名 bs=1 skip=开始分离的字节数
参数说明：
if=file /*输入文件名，缺省为标准输入*/
of=file /*输出文件名，缺省为标准输出*/
bs=bytes /*同时设置读写块的大小为bytes，可以代替ibs和obs*/
skip=blocks /*从输入文件开头跳过blocks个块后再开始复制*/

4.winhex（手动分离）

除了使用 dd 命令之外，还可以通过使用 WinHex 工具来手动分离文件。只需将目标文件拖放到 WinHex 中，然后定位到需要分离的部分，最后进行复制即可完成操作。

文件合并操作

1.Linux系统中合并文件：

命令：cat 需要合并的文件 > 输出的文件名

完整性检测：Linux下计算文件md5：md5sum 文件名

2.Windows下的文件合并：

使用场景：windows下，通常要对文件名相似的文件进行批量合并，格式为：

copy /B 合并的文件(文件1+文件2+...+文件n) 输出的文件命令

完整性检测：windows下计算md5，格式为：

certutil -hashfile 文件名 md5

文件内容的隐写

文件内容隐写，就是直接将KEY以十六进制的形式写在文件中，通常在文件的开头或结尾部分，分析时通常重点观察文件开头和结尾部分。如果在文件中间部分，通常搜索关键字KEY或者flag来查找隐藏内容。

在Windows系统中，通常将要识别的文件使用winhex打开，查找具有关键字或明显与文件内容不和谐的部分---通常优先观察文件首部和尾部，再搜索flag或key等关键字。

例题(BUUCTF的你竟然赶我走):

图片隐写

常见的图片隐写：细微的颜色差别、GIF图多帧隐藏（图片通道隐藏、不同帧图信息隐藏、不同帧对比隐写）、Exif信息隐藏、图片修复（图片头修复、图片尾修复、CRC校验修复、长宽高修复）、最低有效位LSB隐写、图片加密（Stegdetect、Outguess、Jphide、F5）

图片混合

图片混合也就是把两张图片重叠在一起，由于颜色的重叠或者其他一些因素，我们只能看到其中的一张图片，达到的这种效果就相当于隐藏了另一张图片。

这时我们就需要借助工具来对混合后的图片进行分离：Stepsolve.jar

例题：

1.隐藏在动图之中（BUUCTF中的金三胖）

下载完附件后打开发现是一个GIF动图，并且在播放过程中有红色字符闪过，怀疑信息被隐藏在动图的某些帧里，使用stegsolve.jar打开该动图（java -jar Stegsolve.jar）并使用analyse----frame browser来逐帧查看:

2.隐写图片的大小（BUUCTF中的大白）

先查看图片宽高

放入010editer，修改宽高，重新打开照片,得到flag

3.隐写在图片的属性中(BUUCTF中文件中的秘密)

flag在图片的属性里

压缩包的分析

一个zip的组成有三部分：压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志

可参考：CTF-MISC总结_ctfmisc-CSDN博客

1.无加密

数据区的全局加密应当为 00 00

目录区的全局方式位标记应当为 00 00

2.假加密（伪加密）

数据区的全局加密应当为 00 00

目录区的全局方式位标记应当为 09 00

3.真加密

数据区的全局加密应当为 09 00

目录区的全局方式位标记应当为 09 00

4.压缩源文件数据区 50 4B 03 04开头

+压缩源文件目录区 50 4B 01 02开头

+压缩源文件目录结束标志50 4B 05 06开头

识别一个zip文件是否加密主要是看压缩源文件（数据区）的全局方式位标记和压缩源文件（目录区）的全局方式位标记，关键操作在其中的全局方式标记的第一字节数字的奇偶上，其它的不管为何值，都不影响它的加密属性。第一字节数字为偶数表示无加密，例如：00,02,04等；为奇数表示有加密，例如01,03,09等。