【笔记】CTF图片、文件的简单取证

最新推荐文章于 2025-09-24 10:21:53 发布
原创 最新推荐文章于 2025-09-24 10:21:53 发布 · 3.8k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

本文介绍了CTF中进行图像和文件取证的基本方法,包括GIF取证、文件取证、ZIP压缩密码爆破、MINIX文件挂载、查看十六进制内容、Magic Header识别及PCAP文件中的图片和USB键位信息提取。通过Linux命令和工具,如convert、binwalk、Wireshark等,解析隐藏在各种格式中的信息。

原课程链接:CTF取证实战课程(入门级)- 51CTO

https://edu.51cto.com/course/15228.html

 

文件、图片取证的简单思路:

1、gif图片:提取、拼合

2、可挂载系统文件:挂载系统文件

3、未知格式文件:查看十六进制编码,可能是Magic Header的修改

4、隐藏文件:binwalk提取文件中的隐藏信息;ls -a

5、PCAP:查找敏感信息,分离文件;USB信息

6、压缩包:爆破密码

7、文本:解码,解密

 

 

GIF取证

 

情况1:Flag隐藏在GIF的某一帧中

方法:将每一帧拆分成一个单独的png

linux下,使用:

convert gif文件名 %02d.png

 这句话的意思是将gif的每一帧拆分,并按数字顺序(%02d的作用)命名。

 

情况2:Flag需要将GIF各帧上的图形拼在一起才显现出来

方法:分离再组合

第一步分离:

convert gif文件名 %02d.png

第二步去掉背景白色:

ls *.png | while read filename; do convert $filename -transparent white $filename; done

 第三步,将透明背景的图片组合在一起

ls *.png | while read filename; do convert $filename 00.png -gravity center -composite 00.png; done;

 

 

文件取证

在Linux下,文件没有拓展名,可以用file命令来查询文件格式。

 

unzip:解压zip文件

gunzip:解压gz文件

 

ZIP文件压缩密码爆破

字典:https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt

爆破:

fcrackzip -b -D -v -u -p 字典txt zip文件

 

修复ZIP文件

解压出现这样的报错: bad zipfile offset (错误的ZIP文件偏移量)

 

MINIX 文件

MINIX文件是一个linux下的可挂载文件。

挂载方法:

mkdir mountpoint

mount 文件名 mountpoint/

 

查看十六进制内容

hexeditor 文件名

 

Magic Header

Magic header/Magic number,是具有无法解释含义的唯一值,用于识别文件格式或协议。

例如下图中的89 50 4E 47 0D 0A 1A 0A,就是PNG文件的Magic Header。

此类题目通常是需要我们用16进制读取文件数据,然后将被修改过的Magic Header改回正确的数据

对照:https://en.wikipedia.org/wiki/List_of_file_signatures

 

Binwalk提取隐藏信息

binwalk -e 文件名

-e 即extract

例子:

 

 

PCAP中的图片、文件取证

PCAP中的敏感信息:如名字带flag的文件,图片格式的文件,POST请求,带账号密码的文件等

 

查看所有关联文件

binwalk PCAP包

分离并保存关联文件

foremost PCAP包

查找指定字符串,-i是不区分大小写

string PCAP包 | grep -i "字符串"

例子:

 

解码

echo "字符串" | 编码 -d

如:

echo "dEo2NFpxYmRMdw==" | base64 -d

 

Wireshark中的HTTP方法筛选

http.request.method == GET

 

 

PCAP提取USB键位信息

这里的USB键位信息指的是:键位信息,鼠标信息,存储设备信息。

URB_INTERRUPT in :表示键盘USB信息。

 

筛选出Leftover Capture Data

tshark -r 文件名 -T fields -e usb.capdata

 

 -r: -r <infile> 设置读取本地文件

-T: -T pdml|ps|text|fields|psml,设置解码结果输出的格式,包括text,ps,psml和pdml,默认为text

-e: 如果-T fields选项指定,-e用来指定输出哪些字段;

 

还未弄清楚USB信息部分,待续

 

 

Evixenon
关注
CTF-数字取证合集
admin的博客
11-27 7624
本题来自moectf的easyForensics。 下面是题目链接: https://masternoah.lanzoui.com/iFXVfsy5o3e 一、首先下载软件X-ways Forensics 我们可以了解一下e01文件文件类型。参照下面这篇文章。一句话来讲就是e01就是一个计算机某一时刻全部操作的证据文件。 封装E01文件格式说明 — 磁盘映像取证 (forensicsware.com) 二、打开文件 文件打开后是这个样子: 然后点击这个按钮,就可...
CTF gif分离与像素点提取(running_pixel)
诚邀网络通信领域商务合作
01-07 4829
第十四届全国大学生信息安全竞赛-线上赛wp-MISC running_pixel 下载下来:running_pixel.gif是一张动图. 先用GifSplitter.exe这个分离软件分离,得到382张图片接着就是观察这图片规律 得到总共382张图片,仔细观察这些图片,发现其中有部分图片,总会含有这个RGB: 233,233,233的像素块 猜测将这些含有像素RGB: 233,233,233的像素块提取出来,绘制成flag,将中途绘制的每一张图片保存出来 from PIL import Image f
Bygku-USB 流量截取
最新发布
2502_90869383的博客
09-24 1055
提取:tshark -r usb.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt。if modifier in ["02", "20", "22"]: # Shift键按下。if len(a) == 16: # 键盘流量的话len为16,鼠标为8。key_code = line[4:6] # 按键码(字节2)if len(line) == 16: # 确保是16字符的键盘数据。第3字节: 2e (按键扫描码 - =键)
CTF之misc-图片隐写
热门推荐
Battery的博客
05-03 15万+
一·隐写术的介绍 隐写术是一门关于信息隐藏的技巧与科学,所谓信息隐藏指的是不让除预期 的接收者之外的任何人知晓信息的传递事件或者信息的内容。隐写术的英文 叫做Steganography,来源于特里特米乌斯的一本讲述密码学与隐写术的著 作Steganographia,该书书名源于希腊语,意为“隐秘书写”。 二.图片隐写 1.常用工具 HexWorkshop Stegsolve Binwalk dd命令 2.查看十六进制,用HexWorkshop将图片打开,搜索flag等关键字或翻到最后,可能会
CTFGIF图片分离工具
02-23
misc方向直接GIF图片分离
ctf必备-foremost图片隐写提取工具多平台版 隐写术提取工具 mac linux win三版本 附带源码.zip
07-11
foremost图片隐写提取工具多平台版 隐写术提取工具 mac linux win三版本 附带源码
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 3705
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
2401_86436851的博客
09-05 1873
首先,分析VMEM文件整体信息然后, 通过 lsadump 查看内存中密码凭据的明文缓存数据,得到flag。
取证导论 & Volatility入门使用——ctf公开课笔记记录
m0_75196987的博客
04-16 1166
取证导论 & Volatility入门使用。——来自 长空网络实验室。不建议广泛传播。
CTF Web学习笔记
01-11
CTF取证技术** 这里提到的取证技术实际上与密码学及编码的部分内容有所重叠,主要指通过对密文或编码内容进行分析来获取flag的过程。但在实际比赛中,这可能还涉及到对日志文件、系统配置文件等进行深入分析以找...
CTF题记——取证小集合
m0re's blog
11-07 7141
前言 最近接触到的取证类题目很多,所以就总结一下这类题。 不得不提的是Volatility这个神器,本次学习,结合几个题目总结一下命令使用。还有一些大师傅的博客学来的知识。 "食用"方法 判断镜像信息,获取操作系统类型 volatility -f ?.img/raw/... imageinfo 知道操作系统类型后,用–profile指定 volatility -f ?.img --profile=... 查看当前显示的notepad文本 volatility -f file.raw --profile
CTF取证技术实战,图片文件、流等相关内容的取证技术
Scalzdp的专栏
10-25 3283
取证技术在我们安全工作中非常重要,我们可以通过已经产生的流量、日志、文件等信息发现安全存在的蛛丝马迹。通过取证技术的应用,安全工作者可以明确系统存在的漏洞,以及都是谁在系统中做了什么事,其价值和意义对个人、企业、国家而言都是非常重要的。
BMZCTF:内存取证三项(数字取证)
zip471642048的博客
04-22 1209
文章目录内存取证查看imageinfo查看所有活动进程查看下cmd.exe的使用情况发现个压缩包,文件扫描出文件在内存的位置dump出文件在当前目录修改为zip后缀寻找压缩包密码猜测压缩包密码得到flag 内存取证 内存取证三项.txt 一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑
CTF学习24.11.8[取证]
skulltougaigu的博客
11-08 545
(Electronic Data Forensics,简称)是一门专业领域,涉及调查、收集、分析和技术保护电子设备和数字环境中存储的数据。它在法律案件、安全审计和企业合规中扮演关键角色。:从可疑设备或网络源中合法地提取电子数据,可能涉及硬盘镜像、电子邮件、聊天记录等。:使用专业的工具对数据进行初步检查,识别文件类型、时间戳和其他元数据,以便确定其价值和关联性。:如果数据部分损坏或加密,可能需要特殊技术解密或修复。:整理提取的数据,确保其完整性和可追溯性,并遵守法律要求的保密性和保管期限。
CTF中的取证分析:数字证据的收集与解读
weixin_65409651的博客
08-26 1636
取证分析(Forensics)在CTF竞赛中模拟了数字证据的收集与分析过程。取证的目标是从系统、网络、文件等数据中提取关键信息,用以恢复事件的全过程或发现隐藏的证据。取证分析不仅仅是在CTF中的挑战,也是真实网络安全事件响应中的重要步骤。
CTF-MISC刷题-图片
sinawen的博客
12-23 4974
Stegseek是迄今为止全世界最快的Steghide破解器,该工具每秒能够处理数百万的密码。虽然Stegseek是一款轻量级工具,但丝毫不影响其功能性的强大。该工具作为原始Steghide项目的一个分支而构建,它的速度比其他破解器快上千倍。在该工具的帮助下,广大研究人员可以轻松从使用了Steghide隐写&加密的文件中提取出隐藏的数据。除此之外,Stegseek还可以用来提取Steghide的元数据,我们可以利用这些信息来判断一个文件中是否包含了Steghide数据。
CTF文件
YkingH的博客
07-08 1161
CTF文件包含 文件包含漏洞 定义:在通过php函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露甚至恶意的代码注入 危险函数 include() include_once() require() require_once() 解题思路 本地文件包含:直接读取目标机上的Flag文件 远程文件包含:指定第三方服务器上可运行的PHP木马,拿到webshell,查看flag文件 php.ini allow_url_fopen = on/off 允许ur
CTF取证方法大汇总,建议收藏!
caoyongsheng的博客
08-17 3726
站在巨人的肩头才会看见更远的世界,这是一篇来自技术牛人的神总结,运用多年实战经验总结的CTF取证方法,全面细致,通俗易懂,掌握了这个技能定会让你在CTF路上少走很多弯路,不看真的会后悔! 本篇文章大约6千字,阅读时间需20分钟,希望大家耐心看完! 取证CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)中,取证的挑战可能包括文件格式分析,隐写术,内存转储分析或网络数据包捕获分析等。检查和处理静态数据文件,而..
python gifctf_一个 ctf 上抠出来的 Python 代码,求大家解析
weixin_39906114的博客
12-09 291
一个 ctf 上抠出来的 python 代码,求大家解析,在第 5 行用到了乱七八糟的东东。不知何意。另:这个 ctf 是来分析一个 pcab 包,来还原攻击行为,有没有兴趣的朋友加入,我找到了 2 个 flag ,感觉很有趣,有兴趣可 PM 我。#!/usr/bin/env pythonfrom itertools import cycle, izipimport base64, sysimpo...
CTF png图片组合取证
08-21
<think>首先,用户的问题是关于CTF比赛中如何进行PNG图片组合取证以获取隐藏信息。用户提到参考了站内引用,特别是引用[1]和[2],这些引用了PNG图片隐写的内容。 我需要根据系统级指令来构建我的回答: - 所有行内数学表达式必须使用$...$格式。 - 独立公式必须使用$$...$$$$格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 在回答中引用的段落末尾自然地添加引用标识,例如[^1]。 - 回答结构清晰,帮助用户逐步解决问题。 - 保证回答真实可靠。 用户的问题具体是:如何在CTF比赛中进行PNG图片组合取证获取隐藏信息。从引用中,我看到PNG图片隐写包括文件头、文件尾分析,以及分离隐藏文件。 关键点来自引用: - 引用[1]:提到PNG图片隐写,包括文件头、判断类型、分离文件等。 - 引用[2]:具体说明如何查找PNG文件尾(AE 42 60 82),并提到如果隐藏了数据,文件尾后可能有压缩包(PK开头),可以使用binwalk或foremost分离,或直接改后缀。 - 引用[3]和[4]:关于取证分析,但更偏向内存和磁盘取证,与PNG图片直接相关较少。所以,我应该主要参考[1]和[2]。 我的回答应该结构清晰,逐步解释过程: 1. **理解PNG文件结构**:解释PNG文件的头和尾。 2. **检查隐藏数据**:如何查找文件尾后的额外数据。 3. **分离隐藏文件**:使用工具如binwalk、foremost,或手动方法。 4. **提取信息**:一旦分离,如何访问隐藏内容。 5. **其他相关技术**:如LSB隐写、盲水印等,但用户指定了“组合取证”,可能涉及多个图片或数据组合。 用户说“PNG图片组合取证”,可能意味着分析多个PNG图片组合起来隐藏信息,或者PNG文件中组合了其他数据。从引用[2]看,是单个图片中隐藏文件。 在CTF中,“组合取证”可能指: - 多个图片文件组合成一个信息。 - 一个图片文件中组合了多个数据块。 基于引用,我应该专注于单个PNG文件的隐写分析,因为它是最常见的。 步骤大纲: 1. **检查PNG文件头**:确认文件类型。 - PNG文件头:89 50 4E 47 0D 0A 1A 0A (十六进制)。 2. **查找文件尾**:PNG文件尾是 IEND 块,签名为 AE 42 60 82。 3. **分析额外数据**:如果文件尾后有数据,可能隐藏了文件。 4. **使用工具分离**: - binwalk:扫描文件提取嵌入文件。 - foremost:类似,提取文件。 - 手动方法:用十六进制编辑器查找PK(zip)或其他签名。 5. **提取和访问**:一旦分离,解压或查看隐藏文件。 6. **其他隐写技术**:如果涉及LSB等,但用户指定“组合取证”,可能不是主要。 生成相关问题: - 基于主题,如其他图片类型隐写、工具使用、常见挑战等。 回答结构: - 引言:简要介绍PNG图片隐写在CTF中的重要性。 - 逐步方法: 1. 确认文件类型。 2. 检查文件头和尾。 3. 查找隐藏数据。 4. 分离隐藏文件。 5. 提取信息。 - 示例:可能给出一个简单示例。 - 相关问题。 添加引用:在相关部分末尾添加[^1]、[^2]等。 确保LaTeX:如果有数学,如计算偏移,但PNG隐写可能不涉及数学,所以可能不需要。但如果有,用$...$。 最后,生成相关问题。</think>### CTF比赛中PNG图片组合取证获取隐藏信息的方法 在CTF(Capture The Flag)比赛中,Misc方向(杂项)经常涉及图片隐写,其中PNG格式因其结构清晰而成为常见目标。PNG图片组合取证指通过分析PNG文件的二进制结构、数据块组合或与其他文件的关联,来提取隐藏信息(如压缩包、文本或flag)。以下我将逐步解释这一过程,确保方法可靠且基于实际CTF场景。参考了站内关于PNG隐写的资料[^1][^2],并结合常见工具和技术。 --- ### 步骤1: 确认PNG文件类型和结构 PNG文件有固定的文件头和文件尾,这是分析的基础。你需要先验证文件是否为PNG格式: - **文件头**:PNG文件头始终为 `89 50 4E 47 0D 0A 1A 0A`(十六进制),对应ASCII字符 `.PNG....`。这用于识别文件类型[^1]。 - **文件尾**:PNG文件以IEND块结束,签名为 `AE 42 60 82`(十六进制)。如果文件尾后还有额外数据,可能隐藏了其他文件(如压缩包)[^2]。 使用工具快速检查: - **十六进制编辑器**(如HxD、010 Editor):打开PNG文件,查看开头和结尾字节。 - **命令行工具**:在Linux/macOS中,用 `xxd` 命令输出十六进制: ```bash xxd -p 文件名.png | head -n 1 # 查看文件头 xxd -p 文件名.png | tail -n 1 # 查看文件尾 ``` 如果文件尾后出现非PNG数据(如 `50 4B` 表示PK开头,即ZIP压缩包),则可能有隐藏信息[^2]。 --- ### 步骤2: 分析隐藏数据组合 PNG图片中隐藏信息通常通过“组合”方式实现,即PNG文件结构后附加额外数据块。常见组合包括: - **尾部附加文件**:在PNG的IEND块后,直接附加ZIP、TXT或其他文件(常见于CTF题目)。 - **数据块组合**:PNG由多个数据块(Chunks)组成(如IHDR、IDAT、IEND)。攻击者可能修改或添加非常规块(如tEXt块存储文本)来隐藏信息。 - **多文件组合**:多个PNG文件可能需拼接或比较(如通过XOR操作)才能提取完整信息。 操作步骤: 1. **查找文件尾后数据**:在十六进制编辑器中,搜索 `AE 42 60 82`(文件尾签名)。如果其后有数据: - 查找常见签名:`50 4B`(ZIP)、`52 61 72`(RAR)、`FF D8 FF`(JPG)等,表明隐藏了文件[^2]。 2. **检查数据块**:PNG数据块包含长度、类型、数据和CRC。使用工具如 `pngcheck` 扫描异常块: ```bash pngcheck -v 文件名.png # 列出所有块,检查是否有可疑tEXt或IDAT块 ``` 如果发现冗余IDAT块(存储图像数据)或tEXt块包含Base64编码,可能隐藏信息。 --- ### 步骤3: 分离和提取隐藏文件 一旦发现可疑数据,需分离并提取隐藏内容。优先使用自动化工具,再手动验证: - **自动化工具**: - **binwalk**:扫描文件并提取嵌入内容。命令示例: ```bash binwalk -e 文件名.png # 自动提取隐藏文件到_output目录 ``` 如果输出显示 "ZIP archive" 或 "RAR archive",表明成功分离[^2]。 - **foremost**:类似binwalk,但更专注于文件恢复: ```bash foremost -i 文件名.png -o 输出目录 ``` - **dd命令**(手动分离):如果知道隐藏数据偏移量,用dd提取: ```bash dd if=文件名.png of=隐藏文件.zip skip=偏移量 bs=1 ``` 偏移量可通过十六进制编辑器计算(文件尾位置 + 4字节)。 - **提取后处理**: - 如果分离出ZIP/RAR,解压查看内容(可能包含flag.txt)。 - 如果提取出文本或编码数据,使用Base64解码或XOR分析(例如,在Python中:`bytes([a ^ b for a, b in zip(data1, data2)])` 比较两个PNG文件)。 --- ### 步骤4: 处理组合取证的特殊情况 在CTF中,“组合取证”可能涉及更复杂的场景: - **多PNG文件关联**:如果题目提供多个PNG文件,需组合分析: - **图像拼接**:用工具(如Python的PIL库)将多个图片拼接成一张,可能揭示隐藏信息。 - **差异比较**:使用 `compare` 命令(ImageMagick)或脚本比较像素差异: ```bash compare 文件1.png 文件2.png 差异.png # 输出差异图,可能显示flag ``` - **隐写术组合**:结合其他技术增强取证: - **LSB隐写**:用工具如Stegsolve检查PNG的Least Significant Bit(最低有效位),提取隐藏文本[^1]。 - **盲水印**:如果PNG包含水印,使用工具如OpenCV检测(例如,频域分析)。 - **宽高修改**:PNG的IHDR块存储宽高;修改宽高可能导致图像显示不全,用 `exiftool` 查看并修复: ```bash exiftool 文件名.png # 检查宽高,如果异常,调整以显示隐藏区域 ``` --- ### 示例:简单CTF题目复现 假设题目文件 `flag.png` 在CTF中出现: 1. 用 `xxd` 查看文件尾:发现 `AE 42 60 82` 后有 `50 4B`。 2. 运行 `binwalk -e flag.png`,提取出 `flag.zip`。 3. 解压zip,得到 `flag.txt`,内容为flag。 此方法在真实CTF中常见,成功率较高[^1][^2]。 --- ### 注意事项 - **工具选择**:优先用binwalk或foremost自动化处理,手动方法(如十六进制编辑器)作为补充。 - **错误处理**:如果分离失败,检查文件是否损坏或使用其他工具(如 `strings 文件名.png | grep 'CTF'` 搜索明文)。 - **可靠性**:基于PNG标准,方法适用于大多数CTF场景。但高级题目可能用加密或混淆,需结合密码学知识。 - **参考资源**:更多细节可参考PNG文件格式标准或CTF writeups[^1][^2]。 通过以上步骤,你能高效处理PNG组合取证,快速获取隐藏信息。实践中,多练习CTF题目(如来自CTFtime或HackTheBox)以提升技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值