Misc入门培训

编码的介绍

这篇大佬博客讲的非常详细：https://www.cnblogs.com/mq0036/p/6544055.html

我就不做过多的介绍了，但是看懂编码真的非常重要！！1

Misc简介
 

MISC，中文即杂项，包括图片隐写，音频隐写，流量包分析，编码分析、压缩包分析、磁盘分析取证、与信息安全相关的大数据等。

竞赛过程中解MISC时会涉及到各种脑洞，各种花式技巧。

常用命令

1. Binwalk

1.1 Binwalk工具介绍
Binwalk是一个自动提取文件系统，该工具最大的优点就是可以自动完成指定文件的扫描，智能发掘潜藏在文件中所有可疑的文件类型及文件系统。=
1.2 Binwalk文件扫描和提取
Binwalk分析文件
命令：binwalk +file 通过扫描能够发现目标文件中包含的所有可识别的文件类型。

通过Binwalk我们可以看到这一张jpg文件中藏着zip文件。
Binwalk提取文件。
命令 binwalk  -e +文件名。

2. foremost

2.1 foremost工具介绍
foremost是基于文件开始格式，文件结束标志和内部数据结构进行恢复文件的程序。该工具通过分析不同类型文件的头、尾和内部数据结构，同镜像文件的数据进行比对，以还原文件。它默认支持19种类型文件的恢复。用户还可以通过配置文件扩展支持其他文件类型。

2.2 foremost提取文件
有时候binwalk无法正确分离出文件，这时候就可以使用foremost，将目标文件复制到kali中，在终端中使用命令行进入文件所在文件夹，使用如下命令：
Foremost+file –o 输出目录名。

3. file命令

file命令实际上是一个命令行工具，用来查看文件类型。
使用方法：
将文件复制到kail或者带有file工具的系统中，使用file查看文件。

Misc隐写（图片）

图片题分析大概过程：

工具

010Editor

010Editor是一款快速且强大的十六进制编辑器。=我们可以通过使用010Editor查看文件的头部来判断类型。

以下是常见的文件头:

以上都是经常用到的，非常重要；题目做多了，自然就会记住啦

当文件类型不确定时就可以尝试查看文件头来判断

png图片

文件格式：

对于一个 PNG 文件来说，其文件头总是由位固定的字节来描述的，剩余的部分由 3 个以上的 PNG 的数据块（Chunk）按照特定的顺序组成。

文件头 89 50 4E 47 （因为很重要，所以一再强调）

还有IHDR模块
趁热打铁上题目：misc2
打开文档发现第一行出现ng，还有第二行的IHDR模块，那我们直接后缀修改为.png

直接得到flag
第二种例子就是关于010的使用，他不局限于图片，它可以查看很多样式的数据
010 Editor 是一款全新概念的 十六进制编辑器
例题misc6

我们直接把图片拖进010工具里面如图所示

关于细致的介绍，我不做过多的讲解，简单来说右边的是一些16进制的代码。用于分析数据
这题思路就是直接去试着查找字符串
CTRL+F 是搜索
答案如下

还有一种就是png图片的CRC错误；宽高不正确导致我们查看图片不全面

misc25：

我们一般的做题思路就是拿到图片，先扔进010里面查看有没有有用的信息

扔进去之后我们发现CRC报错，这里的话直接用脚本爆破

脚本如下：

import zlib
import struct

# 同时爆破宽度和高度
filename = "misc25.png"
with open(filename, 'rb') as f:
    all_b = f.read()
    data = bytearray(all_b[12:29])
    n = 4095
    for w in range(n):
        width = bytearray(struct.pack('>i', w))
        for h in range(n):
            height = bytearray(struct.pack('>i', h))
            for x in range(4):
                data[x+4] = width[x]
                data[x+8] = height[x]
            crc32result = zlib.crc32(data)
         #替换成图片的crc 在010中为第二行后三个，和第三行第一个
            if crc32result == 0x76EC1E40:
                print("宽为：", end = '')
                print(width, end = ' ')
                print(int.from_bytes(width, byteorder='big'))
                print("高为：", end = '')
                print(height, end = ' ')
                print(int.from_bytes(height, byteorder='big'))

爆破出高为250 宽为900；

这里推荐一个工具方便修改png图片的宽高

修改之后再次打开图片

gif图片

misc37

打开题目所给的图片，发现图片在动此时用工具
HoneyView查看即可

jpg

关于jpg也是一些常规操作，foremost  ，binwalk，binwalk-e，分析文件结构是否出错，CRC报错等等；

流量题

所用到的软件wireshark
常规操作包括分析协议，追踪HTTP流，追踪TCP流，导出HTTP。USB键盘流量，USB鼠标流量（USB这两还是有些操作难度，目前不做要求）

主要还是对追踪的流量进行分析；

我们还是通过例题进行讲解

例题1：

常规套路就是，先进行协议分析，看看TCP,和HTTP的占比

通过协议分级，我们可以看出TCP占比较大，题目给的提示是，查找登录密码。

那我们干脆直接追踪TCP流

在stream2中发现答案

例题2：

常规操作首先进行协议分析

我们发现都为TCP流量，那么干脆直接追踪TCP流查看去向

直接得到flag

压缩包：

rar伪加密

zip伪加密
 

zip 伪加密原理：

zip伪加密是在文件头的加密标志位做修改，进而再打开文件时识被别为加密压缩包。

把  压缩源文件目录区  的  全局方式位标记   的  01  00 或 09 00  改为  00 00   就可以去除密码

把  压缩源文件目录区  的  全局方式位标记   的  00 00  改为    01  00 或 09 00    就可以添加密码 提示
zip 文件

一个 ZIP 文件由三个部分组成：

压缩源文件数据区  +  压缩源文件目录区   +  压缩源文件目录结束标志

压缩源文件数据区： 
50 4B 03 04：这是头文件标记（0x04034b50） 
14 00：解压文件所需 pkware 版本 
00 00：全局方式位标记（有无加密） 
08 00：压缩方式 
5A 7E：最后修改文件时间 
F7 46：最后修改文件日期 
16 B5 80 14：CRC-32校验（1480B516） 
19 00 00 00：压缩后尺寸（25） 
17 00 00 00：未压缩尺寸（23） 
07 00：文件名长度 
00 00：扩展记录长度 
6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500 

压缩源文件目录区： 
50 4B 01 02：目录中文件文件头标记(0x02014b50) 
3F 00：压缩使用的 pkware 版本 
14 00：解压文件所需 pkware 版本 
00 00：全局方式位标记（有无加密，这个更改这里进行伪加密，改为09 00打开就会提示有密码了） 
08 00：压缩方式 
5A 7E：最后修改文件时间 
F7 46：最后修改文件日期 
16 B5 80 14：CRC-32校验（1480B516） 
19 00 00 00：压缩后尺寸（25） 
17 00 00 00：未压缩尺寸（23） 
07 00：文件名长度 
24 00：扩展字段长度 
00 00：文件注释长度 
00 00：磁盘开始号 
00 00：内部文件属性 
20 00 00 00：外部文件属性 
00 00 00 00：局部头部偏移量 
6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001 

压缩源文件目录结束标志： 
50 4B 05 06：目录结束标记 
00 00：当前磁盘编号 
00 00：目录区开始磁盘编号 
01 00：本磁盘上纪录总数 
01 00：目录区中纪录总数 
59 00 00 00：目录区尺寸大小 
3E 00 00 00：目录区对第一张磁盘的偏移量 
00 00：ZIP 文件注释长度
以上就是基本原理，我们直接上例题

说了那么多也就总结为3条
 

1.无加密：

压缩源文件数据区的全局方式位标记应当为00 00  （50 4B 03 04 14 00 后）
且压缩源文件目录区的全局方式位标记应当为00 00   （50 4B 01 02 14 00 后）

    2.伪加密：

压缩源文件数据区的全局方式位标记应当为 00 00  （50 4B 03 04 14 00 后）
且压缩源文件目录区的全局方式位标记应当为 09 00   （50 4B 01 02 14 00 后）、

  3.真加密：

压缩源文件数据区的全局方式位标记应当为09 00  （50 4B 03 04 14 00 后） 

且压缩源文件目录区的全局方式位标记应当为09 00  （50 4B 01 02 14 00 后）

ps:也不一定要09 00或00 00，只要是奇数都视为加密，而偶数则视为未加密

但是这道题全是09 00，因此我的第一想法是真加密.

打开伪加密的文件

分析可知为压缩源文件数据区位置为09 00

压缩源文件区为 09 00 我们把09 00改为 00 00 成功破解伪加密，红色为我们修改的位置

爆破 工具ARCHPR 

直接扔进工具爆破就行，到时候会细讲

音频题

例题一 摩斯或者二进制

工具audacity

对于音频题目还是首先观察一下是否存在摩斯密码，二进制转换等等
例如下题
例题，打开音频

对于上图中的我们常规转换方式为摩斯密码
结果为
短的为. 长的为-

 ..... -... -.-. ----. ..--- ..... -.... ....- ----. -.-. -... ----- .---- ---.. ---.. ..-. ..... ..--- . -.... .---- --... -.. --... ----- ----. ..--- ----. .---- ----. .---- -.-.

之后用到所给摩斯密码解密即可

例题二查看频谱
 

例题为23山东省网络安全技能大赛 题目
打开文件我们查看频谱图

直接看到答案