MISC总结

1.流量分析

ip.src ==192.168.1.102,显示源地址为192.168.1.102；

ip.dst==192.168.1.102, 显示目标地址为192.168.1.102；

ip.addr == 192.168.1.102,包括源地址和目标地址。

端口过滤

tcp.port == 80,显示端口为80的；

tcp.srcport == 80,只显示TCP协议的来源端口为80的；

tcp.dstport == 80,只显示TCP协议的目的端口为80的；

tcp.port >= 1 and tcp.port <= 80，显示TCP协议1-80之间的端口。

过滤包长度

整个UDP数据包：udp.length==20；

TCP数据包中的IP数据包：tcp.len>=20

例如BUGKU中的telnet题，打开压缩包后，是一个后缀为.pcap的文件，所以用Wireshark打开。然后进行过滤。再进行TCP追踪。得到flag。

如果进行追踪后，发现里面还有其他文件，就可以用binwalk进行查询，并分离出来，得到flag。

2.文件格式分析

JPEG (jpg) 文件头：FFD8FF　              文件尾：FF D9　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　PNG (png)                文件头：89504E47              文件尾：AE 42 60 82　　　　　　　　　　　　　　　　　　　　

GIF (gif)                    文件头：47494638　          文件尾：00 3B 　　　　　　　　　　　　　　　　　　　　                          ZIP Archive (zip)     文件头：504B0304　　       文件尾：50 4B　　　　　　　　　　　　　　　　　　　　

TIFF (tif)               文件头：49492A00　

RAR Archive (rar)，                    文件头：52617221　

Windows Bitmap (bmp)，      　  文件头：424D　　

首先要记住这些文件的头和尾，在利用HXD打开后，首先就是要判断是否符合文件的形式，找其中可能隐藏的文件格式，一般都会是压缩包形式。如果看不出来就用binwalk扫描，分离。

其中可能也不会有其他文件，可能会是各种形式的加密，如Base64加密，Unicode加密等等，找出加密的地方用在线解密工具解密，就能得到flag

其中最难找的是图片形式。题目一般会出成这样：iVBORw0KGgAAAAANSUhEUgAAA；而实际应该是这样：iVBORw0KGgoAAAANSUhEUgAAA。这种情况就要找其他同类型的图片或文件，来一一比对。

3.隐写

隐写分为图片隐写和音频隐写。

工具：Stegsolve.jar       Audacity       MP3Stego_GUI

图像隐写术进行数据隐写分为以下几类：

1.在图片右击-属性-详细信息中隐藏数据信息；

2.将数据类型进行改写（rar类型数据 将其改写成jpg格式）；

3.根据各种类型图像的固定格式，隐藏数据修改图像开始标志，改变其原有图像格式，在图像结束标志后加入数据，在图像数据中假如数据，不影响视觉效果情况下修改像素数据，加入信息；

4.利用隐写算法将数据隐写到图像中而不影响图像（仅限于jpg图像），隐写算法常见有F5、Guess、JSteg和JPHide等。

4.压缩包分析

zip压缩包常见漏洞

1、密码暴力破解/字典/掩码攻击  工具：ARCHPR

2、伪加密

3、明文攻击

其中伪加密的形式：

压缩源文件数据区：50 4B 03 04：这是头文件标记

压缩源文件目录区：

50 4B 01 02：目录中文件文件头标记

3F 00：压缩使用的 pkware 版本

14 00：解压文件所需 pkware 版本

00 00：全局方式位标记（有无加密，这个更改这里进行伪加密，改为09 00打开就会提示有密码了）

压缩源文件目录结束标志 ：50 4B 05 06：目录结束标记

如果真是加密，那就根据题目的提示来选择是暴力破解，还是掩码。一般如果已知其中的某个密码字符，就可以用掩码。比如有个五位数的密码，已知其中一个字符为A，那就可以用：????A来作为密码来破解。