CTF杂项解题思路总结

题目分类:

文件操作隐写，图片隐写，压缩包加密伪加密

解题思路及习惯（整体：1，确定类型 2，选择工具）

一，文件操作隐写

a,用010编辑器或winhex打开查看文件内存格式

b,kail下用file命令识别，“file filejpg/png”（部分题目可能混淆题目）

c,winhex和010编辑器，如上图所示，固定的文件有特定文件头，都可以用winhex和010查看文件头是非被修改过（修改过的文件就称为隐写），直接改回来报讯就行

d，文件头被修改时用file命令无法查看，会显示文件格式为data，手动添加文件头就行

e，文件分离操作，工具：binwalk “binwalk filename.后缀名”，用于检查文件是否包含其他文件，分离：binwalk -e filename.后缀名（各种思路尝试一下，说不定能找到flag）

g，在binwalk -e filename.后缀名无法使用时（binwalk分不出来），用foremost，分离：foremost filename.后缀名 -o 123（123是分离后存放文件的文件夹）

h，dd（高级分离工具），用于分离复杂隐写文件（中间插入文件，无法直接二分）

i，010编辑器中import hex选项，直接导入含有大量十六进制的txt文件

j，notepad++利用查找功能，输入关键词key，flag等

二，图片隐写

1，分类

颜色差别，gif多帧隐藏，exif信息隐藏，图片修复（头修复，尾修复，crc校验，长宽高修复，lsb隐写'三基色隐写'，图片加密）

2，工具推荐：firework8，stegolove，zsteg（kali），wbstego4（针对bmp格式图片），tweakpng，bftools（解密图片信息，kali），slienteye，stegdetect（JPG图像加解密）

3，实施

a，LSB隐写：三基色（red，blue，green），尝试为主，试试不同的颜色顺序，也可以通过去掉一个最高位或最低位来尝试。

b，crc校验，通常用010打开后，关注和修改长宽高只需看第二行，0到3四个字节为宽，4到7为高

4，二维码工具推荐：CQR

a，注意二维码颜色，用画图软件进行反色，再用图片隐写工具进行筛选寻找线索

三，压缩文件处理

1，伪加密 ：使用winhex用十六进制查找伪加密头部（看压缩包格式），头部数三位从第四位开始改为4个0

2，暴力破解（archpr）破解zip文件

3，文件头修改0x72为标记块，0x72为压缩文件头快，0x74为文件头块，0x75为注释头

4，压缩包合并隐写时通常是并联，所以注意文件内容的最后一个字符对应的16进制符，文件头块不是74的改为74，以此类推，检查修改其他三个部分

5，不完整图片，修改高度

四，流量分析取证

必备工具：wireshark，burpsuite（安装参考其他教程）

1，wireshark常用过滤语法：

ip address ==；ip src ==； ip dst ==

http.request.method == "GET"

http.request.uri == "/img/logo-edu.gif"

http contains "flag"/"key"

2,wireshark协议分析，注意每个回话都有特定的物理层，应用层，传输层，网络层和数据链路层的内容

a,了解各种常见网络协议如：http，smtp，udp，tcp，igmp

b，tcp追踪流查看cookies等信息，寻找flag线索，“流”一般指二进制文件010101之类的，参考wireshark中导出分组字节流

c，tcp contains "command/flag/ls"查看流的具体信息

3，aircrack-ng（kali）进行WiFi密码破解，aircrack-ng xxx.cap检查cap包

4usb流量包文件分析