题目分类:
文件操作隐写,图片隐写,压缩包加密伪加密
解题思路及习惯(整体:1,确定类型 2,选择工具)
一,文件操作隐写
a,用010编辑器或winhex打开查看文件内存格式
b,kail下用file命令识别,“file filejpg/png”(部分题目可能混淆题目)
c,winhex和010编辑器,如上图所示,固定的文件有特定文件头,都可以用winhex和010查看文件头是非被修改过(修改过的文件就称为隐写),直接改回来报讯就行
d,文件头被修改时用file命令无法查看,会显示文件格式为data,手动添加文件头就行
e,文件分离操作,工具:binwalk “binwalk filename.后缀名”,用于检查文件是否包含其他文件,分离:binwalk -e filename.后缀名(各种思路尝试一下,说不定能找到flag)
g,在binwalk -e filename.后缀名无法使用时(binwalk分不出来),用foremost,分离:foremost filename.后缀名 -o 123(123是分离后存放文件的文件夹)
h,dd(高级分离工具),用于分离复杂隐写文件(中间插入文件,无法直接二分)
i,010编辑器中import hex选项,直接导入含有大量十六进制的txt文件
j,notepad++利用查找功能,输入关键词key,flag等
二,图片隐写
1,分类
颜色差别,gif多帧隐藏,exif信息隐藏,图片修复(头修复,尾修复,crc校验,长宽高修复,lsb隐写'三基色隐写',图片加密)
2,工具推荐:firework8,stegolove,zsteg(kali),wbstego4(针对bmp格式图片),tweakpng,bftools(解密图片信息,kali),slienteye,stegdetect(JPG图像加解密)
3,实施
a,LSB隐写:三基色(red,blue,green),尝试为主,试试不同的颜色顺序,也可以通过去掉一个最高位或最低位来尝试。
b,crc校验,通常用010打开后,关注和修改长宽高只需看第二行,0到3四个字节为宽,4到7为高
4,二维码工具推荐:CQR
a,注意二维码颜色,用画图软件进行反色,再用图片隐写工具进行筛选寻找线索
三,压缩文件处理
1,伪加密 :使用winhex用十六进制查找伪加密头部(看压缩包格式),头部数三位从第四位开始改为4个0
2,暴力破解(archpr)破解zip文件
3,文件头修改0x72为标记块,0x72为压缩文件头快,0x74为文件头块,0x75为注释头
4,压缩包合并隐写时通常是并联,所以注意文件内容的最后一个字符对应的16进制符,文件头块不是74的改为74,以此类推,检查修改其他三个部分
5,不完整图片,修改高度
四,流量分析取证
必备工具:wireshark,burpsuite(安装参考其他教程)
1,wireshark常用过滤语法:
ip address ==;ip src ==; ip dst ==
http.request.method == "GET"
http.request.uri == "/img/logo-edu.gif"
http contains "flag"/"key"
2,wireshark协议分析,注意每个回话都有特定的物理层,应用层,传输层,网络层和数据链路层的内容
a,了解各种常见网络协议如:http,smtp,udp,tcp,igmp
b,tcp追踪流查看cookies等信息,寻找flag线索,“流”一般指二进制文件010101之类的,参考wireshark中导出分组字节流
c,tcp contains "command/flag/ls"查看流的具体信息
3,aircrack-ng(kali)进行WiFi密码破解,aircrack-ng xxx.cap检查cap包
4usb流量包文件分析