如何使用Stegseek解密并提取隐写工具Steghide隐藏的内容

于 2024-05-20 15:38:32 发布
阅读量1k 收藏 12
点赞数 13
分类专栏: 工具 文章标签: 数据安全 数据隐写 图像隐写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/139066903
版权

关于Stegseek

Stegseek是一款针对Steghide的隐藏数据提取工具,该工具可以对经过Steghide工具处理过的内容进行分析,并从目标文件中提取出隐藏数据。

该工具一开始作为Steghide项目的分支进行开发,因此该工具的运行速度非常快,要比其他破解工具快好几千倍,并且能够在不到两秒的时间里运行完整个rockyou.txt(rockyou.txt是一个包含了1400万个密码的著名字典)。

除此之外,Stegseek还可以在不需要密码的情况下提取出Steghide元数据,并将其用于测试目标文件是否包含Steghide数据。

与其他工具的对比

以下测试均使用rockyou.txt作为字典文件,所有工具均为默认配置:

密码

行数

Stegseek v0.6

Stegcracker 2.0.9

Stegbrute v0.1.1 (-t 8)

"cassandra"

1 000

0.05s

3.1s

0.7s

"kupal"

10 000

0.05s

14.4s

7.1s

"sagar"

100 000

0.09s

2m23.0s

1m21.9s

"budakid1"

1 000 000

0.73s

[p] 23m50.0s

13m45.7s

"␣␣␣␣␣␣␣1"

14 344 383

1.21s

[p] 5h41m52.5s

[p] 3h17m38.0s

测试结果表明,Stegseek要比Stegcracker快12000倍,比Stegbrute快7000倍。

工具安装

广大研究人员可以按照下列方法在不同操作系统上安装和使用Stegseek。除此之外,我们还可以在一个Docker容器中运行Stegseek。

发布版本安装

Linux

在Ubuntu或其他基于Debian的操作系统上,我们可以使用项目提供的.deb包来安装Stegseek。

访问该项目的【Releases页面】下载最新版本的Stegseek代码。

然后使用下列命令安装.deb文件即可:

sudo apt install ./stegseek_0.6-1.deb

Windows

目前该项目还不支持将Stegseek构建为Windows原生应用程序,但我们可以使用WSL在Windows操作系统上运行和使用Stegseek。

配置好WSL之后,我们可以直接按照Linux的安装方式来安装Stegseek。

默认配置下,WLS会将C:\加载至/mnt/c/,我们可以通过该路径来访问自己的文件。

Docker使用

以Docker容器运行Stegseek:

docker run --rm -it -v "$(pwd):/steg" rickdejager/stegseek [stegofile.jpg] [wordlist.txt]

工具使用

数据破解

Stegseek最关键的功能就是基于字典的密码破解,参考命令如下:

stegseek [stegofile.jpg] [wordlist.txt]

检测和数据提取(CVE-2021-27211)

Stegseek还可以用来从Steghide图片中检测和提取任意未加密的(元)数据:

stegseek --seed [stegofile.jpg]

工具参数选项

我们可以使用stegseek --help获取该工具支持的全部参数选项:

=== StegSeek Help ===

To crack a stegofile:

stegseek [stegofile.jpg] [wordlist.txt]

 

Commands:

 --crack                 使用一个字典破解一个stego文件

 --seed                  通过尝试所有嵌入模式破解一个stego文件,该模式可以检测一个文件是否使用steghide进行编码

Positional arguments:

 --crack [stegofile.jpg] [wordlist.txt] [output.txt]

 --seed  [stegofile.jpg] [output.txt]

 

Keyword arguments:

 -sf, --stegofile         选择一个stego文件

 -wl, --wordlist         选择一个字典文件

 -xf, --extractfile        选择提取数据的文件名

 -t, --threads           设置线程数量,默认为CPU核心数

 -f, --force              覆盖现有文件

 -v, --verbose           显示Verbose详细信息

 -q, --quiet             隐藏性能计量(提升性能)

 -s, --skipdefault       不添加额外的密码猜测

 -n, --nocolor           禁用颜色高亮输出

 -c, --continue          找到一个结果之后继续破解

 -a, --accessible        提升输出输出结果的可读性

 

Use "stegseek --help -v" to include steghide's help.

工具使用演示

许可证协议

本项目的开发与发布遵循GPL-2.0开源许可协议。

项目地址

Stegseek:【GitHub传送门

参考资料

What is Windows Subsystem for Linux | Microsoft Learn

FreeBuf-
关注
  • 13
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
Cookie-Monster:一款针对Web浏览器的安全分析与数据提取工具
07-29 327
Cookie-Monster适用于红队和蓝队成员,能够提取WebKit主密钥,找到具有Cookie和登录数据文件句柄的浏览器进程,然后复制句柄,并将相关数据下载并保存至本地。--chrome 会查看所有正在运行的进程和句柄,如果其中一个与chrome.exe匹配,它会将句柄复制到Cookies/Login Data,然后将文件复制到CWD;--edge 会查看所有正在运行的进程和句柄,如果其中一个与msedge.exe匹配,它会将句柄复制到Cookies/Login Data,然后将文件复制到CWD;
博客
“PKFail”漏洞威胁:数百万设备安全启动机制遭绕过风险
07-29 329
darkreading网站消息,攻击者可以绕过数百万基于英特尔和ARM微处理器的计算系统(来自多家厂商)的安全启动过程,因为它们共享了一个在设备启动过程中使用的、之前已经泄露的加密密钥。美国AMI公司提供的所谓平台密钥PK (Platform Key)在安全启动的个人电脑启动链中扮演信任根的角色,用于验证设备固件和启动软件的真实性和完整性。不幸的是,固件安全供应商Binarly的研究人员发现,该密钥已在2018年的一次数据泄露事件中被曝光。
博客
NimScan:一款运行效率极高的端口扫描工具
07-26 798
NimScan是一款运行效率极高的网络安全工具,该工具基于Nim语言开发,集网络扫描、端口扫描和主机发现等功能于一身,支持快速扫描目标网络的活动主机,识别开放端口和服务信息,为渗透测试和网络安全评估提供支持。-a, --all 使用原始套接字扫描已过滤/关闭/打开的端口。-p, --ports 要扫描的端口 [默认: 1-65,535]-t, --threads 每次扫描所使用的线程数量。~3 秒(Linux)~8 秒(Linux)
博客
LangChain曝关键漏洞,数百万AI应用面临攻击风险
07-26 339
LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。近日,来自Palo Alto Networks的研究人员详细描述了LangChain中的两个重大安全漏洞。这些漏洞被识别为CVE-2023-46229和CVE-2023-44467,它们有可能允许攻击者执行任意代码和访问敏感数据。
博客
JAW:一款针对客户端JavaScript的图形化安全分析框架
07-25 1696
JAW是一款针对客户端JavaScript的图形化安全分析框架,该工具基于esprima解析器和EsTree SpiderMonkey Spec实现其功能,广大研究人员可以使用该工具分析Web应用程序和基于JavaScript的客户端程序的安全性。7、设计并执行定制的安全相关程序分析,包括预定义 JavaScript 源和接收器之间的数据流分析、控制流和可达性分析、利用 DOM 快照解析 DOM 查询选择器、通过抽象语法树 (AST) 进行模式匹配等;5、支持交互式检测或自动检测不安全的程序行为;
博客
这家网络公司开始聘用黑客?
07-25 585
KnowBe4不是要聘用黑客,而是黑客策划了一场精密的钓鱼计划。今天(7月25日),网络安全公司KnowBe4透露,一名朝鲜黑客伪装成IT专家精心地策划了一个复杂的网络钓鱼计划。攻击者设法通过了KnowBe4严格的招聘流程,最终在数据泄露之前被识别并阻止。事件的起因是KnowBe4聘用了一名远程软件工程师,该工程师通过了多轮面试和背景调查。然而,当该工程师收到公司配发的Mac电脑后,设备立即开始加载恶意软件,触发了KnowBe4的机载安全软件。
博客
Hakuin:一款自动化SQL盲注(BSQLI)安全检测工具
07-24 2053
Hakuin是一款功能强大的SQL盲注漏洞安全检测工具,该工具专门针对BSQLi设计,可以帮助广大研究人员优化BSQLi测试用例,并以自动化的形式完成针对目标Web应用程序的漏洞扫描与检测任务。该工具允许用户以轻松高效的形式对目标Web应用程序执行BSQLi安全检测,并采用了多种优化方法,包括预训练和自适应语言模型、机会性猜测和并行性机制等。由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。本项目的开发与发布遵循。
博客
Wiz 拒绝谷歌 230 亿美元的收购要约
07-24 340
根据最新一期《财富》杂志周一披露,Wiz已向公司1200名员工发了一份内部说明,称Wiz是一家价值120美元的云安全初创公司,正在与谷歌母公司Alphabet进行收购谈判,公司已决定不推进这笔交易,并将继续是一家独立的公司。他进一步概述了该公司的雄心勃勃的目标,包括达到10亿美元的年度经常性收入并最终IPO上市。一位知情人士向《财富》杂志证实,Wiz的投资者完全支持公司继续保持独立的决定,该决定基于一个简单的计算:Wiz已经足够大,可以瞄准IPO,这仍然是公司的最终目标。
博客
Domainim:一款高效的企业级网络安全扫描工具
07-23 1066
当前版本的Domainim支持下列功能:1、子域名枚举(2个引擎 + 暴力破解);2、用户友好的输出结果;3、支持解析A记录(IPv4);4、虚拟主机枚举;5、反向DNS查询;6、检测通配符子域名(用于暴力破解);7、接受子域名作为输入;8、支持将结果导出到JSON文件;
博客
Telegram曝零日漏洞,可伪装成视频攻击安卓用户
07-23 936
近日, ESET研究人员发现了一个针对Android Telegram的零日漏洞,该漏洞名为“EvilVideo”,从今年6月开始在一个地下论坛出售,价格不详。在帖子中,卖家展示了在公共Telegram频道中测试该漏洞的截图和视频。”这是在合法的Android Telegram应用程序源代码中发现的原始Telegram警告,而不是由恶意负载设计和推送的。ESET将该漏洞命名为“EvilVideo”,并将其报告给Telegram,Telegram于7月11日更新了该应用程序。发布在地下论坛的帖子。
博客
Windows蓝屏事件后,虚假CrowdStrike开始钓鱼
07-22 430
涉及分发的名为“crowdstrike-hotfix.zip”的 ZIP 存档文件中包含一个名为 Hijack Loader(又名 DOILoader 或 IDAT Loader)的恶意软件加载程序,该加载程序反过来启动 Remcos RAT 有效载荷。这些电子邮件包括一份虚假更新的PDF说明,以及从文件托管服务下载恶意ZIP存档的链接。此ZIP文件包含一个名为“Crowdstrike.exe”的可执行文件,该文件一旦执行,数据擦除器将被提取到 %Temp% 下的文件夹,并启动执行数据擦除操作。
博客
MasterParser:针对Linux日志的数字取证与事件响应DFIR工具
07-22 887
MasterParser专为加快Linux系统上安全事件的调查过程而设计,能够快速地扫描支持的日志(例如auth.log),提取关键详细信息,包括SSH登录、用户创建、事件名称、IP地址等。除了适用于DFIR团队之外,MasterParser对更广泛的信息安全和IT社区也具有不可估量的价值,旨在为快速全面评估Linux平台上的安全事件做出了重大贡献。MasterParser是一款强大的数字取证和事件响应工具,可以帮助广大研究人员轻松分析var/log目录中的Linux日志。本项目的开发与发布遵循。
博客
lse:一款专为渗透测试和CTF设计的Linux枚举工具
07-19 924
它可以监控进程以发现重复的程序执行,并且能够在执行所有其他测试时持续进行监控,并为我们节省一些时间。默认情况下,它会监控1分钟,但我们可以使用-p参数选择监控的持续时间。linux-smart-enumeration是一款专为渗透测试和CTF设计的Linux枚举工具,该工具可以帮助广大研究人员收集与本地Linux系统安全相关的信息。默认情况下,该工具还会询问当前系统的用户名和密码,输入之后该工具还将执行一些额外的安全测试。3、级别2( ./lse.sh -l2) 将转储它收集的有关目标系统的所有信息;
博客
当“广撒网”遇上“精准定点”的鱼叉式网络钓鱼
07-19 800
如今,攻击者正在其大规模网络钓鱼活动中越来越多地采用鱼叉式网络钓鱼方法和技术:他们发送的电子邮件越来越个性化,他们的欺骗技术和策略的范围也在扩大。这些具备“鱼叉式网络钓鱼”特征的大规模电子邮件活动构成了独特的威胁。这就要求组织采取与技术发展步伐同步的安全防护措施,同时结合各种方法和服务来打击各种类型的网络钓鱼。注意发件人的地址和实际的电子邮件域:在官方的公司电子邮件中,这些必须匹配。如果某些东西看起来很可疑,请向发件人证实,但不要回复电子邮件,而是采取其他沟通渠道(如打电话、发短信等)。
博客
IOCTLance:一款针对x64 WDM驱动程序的漏洞检测工具
07-18 690
1、映射物理内存2、可控进程句柄3、缓冲区溢出4、空指针引用5、读/写可控地址6、任意shellcode执行7、任意wrmsr8、任意输出9、危险文件操作1、长度限制2、循环界限3、总超时4、IoControlCode 超时5、递归6、符号化数据部分。
博客
探索编译的V8 JavaScript在恶意软件中的应用
07-18 1360
最近几个月,CheckPoint Research(CPR)一直在调查编译后的V8 JavaScript在恶意软件中的使用情况。编译V8 JavaScript是V8(Google的JavaScript引擎)中一个不太为人所知的特性,它可以将JavaScript编译成低级字节码。这种技术可以帮助攻击者避开静态检测并隐藏其原始源代码,使其几乎不可能进行静态分析。为了静态分析编译后的JavaScript文件,研究人员使用了一个新开发的定制工具“View8”,专门用于将V8字节码反编译为高级可读语言。
博客
HardeningMeter:一款针对二进制文件和系统安全强度的开源工具
07-17 1297
其强大的功能包括全面检查各种二进制利用保护机制,包括 Stack Canary、RELRO、随机化(ASLR、PIC、PIE)、None Exec Stack、Fortify、ASAN、NX bit。HardeningMeter是一款针对二进制文件和系统安全强度的开源工具,该工具基于纯Python开发,经过了开发人员的精心设计,可以帮助广大研究人员全面评估二进制文件和系统的安全强化程度。-d --directory:指定要扫描的目录,该参数检索一个目录并递归扫描所有 ELF 文件;本项目的开发与发布遵循。
博客
用户密码强度分析:59%的密码可以在一小时内被猜出
07-17 755
现代GPU能够以惊人的速度破解用户密码。最简单的暴力破解算法可以在不到一天的时间内破解任何八个字符以内的密码。智能黑客算法甚至可以快速猜出更长的密码。许多用户的密码不够强:59%的密码可以在一小时内被猜出。使用有意义的单词、名称和标准字符组合可以显著减少猜测密码所需的时间。最不安全的密码是完全由数字或单词组成的密码。记住,最好的密码是随机的,由计算机生成的。许多密码管理器都能够生成密码。使用助记词,而不是有意义的短语。检查您的密码是否能抵御黑客攻击。
博客
GitHub 令牌泄漏, Python 核心资源库面临潜在攻击
07-16 839
TheHackerNews网站消息,软件供应链安全公司 JFrog 的网络安全研究人员称,他们发现了一个意外泄露的 GitHub 令牌,可授予 Python 语言 GitHub 存储库、Python 软件包索引(PyPI)和 Python 软件基金会(PSF)存储库的高级访问权限。该令牌属于 Python 软件基金会的基础设施主管,并且意外地包含在一个编译的二进制文件中,该文件作为容器镜像的一部分发布在 Docker Hub 上。
博客
SQLMC:一款高性能大规模SQL注入安全扫描工具
07-16 812
1、扫描目标域名中是否存在SQL注入漏洞;2、针对给定URL地址爬取指定深度;3、检查每个链接的所有GET参数是否存在 SQL 注入漏洞;4、生成详细报告以及目标服务器和连接信息;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值