目录
杂项题的基本解题思路:
简单在于用工具
1、文件操作与隐写
给你一个文件(例如flag藏在国旗里面),
1.1文件类型识别
(1)file命令 (工具–Linux系统下的文件识别的命令)
使用场景:不知道后缀名,无法打开文件
格式:file myheart
(2)Winhex
使用场景:window下通过文件头信息判断文件类型
常见的文件头:
工具:winhex十六进制的文件编辑器
Notepad++ --插件–paxediter 看文件头部
010editor 16进制编辑器 左边16进制 右边阿斯克码
(3)文件头残缺/错误
使用场景:头文件残缺或文件头部字段错误无法打开
格式:file 文件名
工具:010editor 可以直接在左侧插入你猜测的文件头
1.2文件分离操作
(1)Binwalk工具(Linux下)
用法:分析文件:binwalk filename
分离文件:binwalk -e filename (自动分离出一个文件夹zip+key.txt)
(2)foremost工具(Linux下)–binwalk分离不出来用它
用法:foremost 文件名 -o 输出目录名
出现两个文件夹,帮你分类—原来文件+压缩包
(3)Dd 命令(Linux下)
格式:dd if=源文件 of=目标文件名bs=1 skip=开始分离的字节数
例子:dd if=1.txt of2.txt bs=1 count=3 skip=1
参数说明:
Count 块 分成最后的那个块,然后跳过中间的,就得到了
用法:先用binwalk 查看分界点,再用dd命令分割
(4)Winhex(Linux下)
用法与5思路像
(5)010ditor(Linux下)
用法:选中所需的十六进制保存 用selection—> save selection
例子:一个txt用工具打开,另存为rar压缩包
1.3文件合并操作
(1)Linux下的文件合并
格式:cat合并文件>输出的文件//cat查看的意思
完整性检测:md5 文件名
例子:cat gif01 gif02 gif03 gif04 > 1.gif
md5sum 1.gif
(2)Window下
格式:copy/B 合并文件输出的文件命令
完整性检测:certutil -hashfile 文件名 md5
例子:copy /B gif01+gif02+gif03+gif04 2.gif
certutil -hashfile 2.gif md5
如果识别不了 可能是缺少头文件
1.4文件内容隐写
winhex/010editor
查找
2、图片隐身术
2.1 图片文字隐写
(1)细微的颜色差别(利用工具)
(2)Gif图多帧隐藏
颜色通道隐藏
不同帧图信息隐藏
不同帧对比隐写
(3)Exif信息隐藏
朋友圈图片 泄露位置信息
(4)图片修复
图片头修复
图片尾修复
CRC校验修复
长宽高度修复
(5)最低有效位LSB隐写
Rgb里面
(6)图片加密
Stegdetect
Outguess
Jphide
FS
2.2 图片文件隐写(—善用工具**)
(1)Firework(工具)
使用场景:查看隐写的图片文件
(2)Exif(工具/命令win)
图片右键属性–>详细信息(可能含有提示/flag)–可能会含有地址经纬度
命令行:exiftool 文件名
例子: exiftool exif.jpg
(3)Stegsolve.jar(工具)
使用场景:两张图片信息(外观、大小、像素)基本相同
步骤:打开第一张图片点击analyso>imago combiner
在弹出的窗口中点击左右按钮选择处理方式,点save保存有价值结果
//jar包可以直接打开!! 直接定位图片位置
先打开下载的图片 再打开原来图片
(4)LSB(最低有效位least signigicant bit)
像素三原色
通过修改像素中最低位的1bit来达到隐藏效果
工具:stegsolve、zsteg(Linux下)、wbstego4、python脚本
图 1例子:题直接可以列出
.bmp用wbstego4
(5)TweakPNG
使用场景:文件头正常却无法打开文件,利用tweakpng修改CRC–校验值
然后直接用16进制编辑器改回来正确的校验值
例子: 用python脚本做
CQR 二维码扫描
(6)Bftools
使用场景:在windows的cmd下,对加密过的图片文件进行编辑
格式: Bftools.Exe decode traincopter 要解密的图片名称-output输出文件名
Bftools.exe run 上一步输出的文件
(7)SilentEye
使用场景:Windows下打开silenteye工具,对加密的图片进行解密
(8)Jpg图像加密(专门针对jpg)//条敏感度 -s
Stegdetect
(9)二维码处理
(抠图 定位点)
黑白二维码:二维码取反 先选择,取反
如果是彩色的: 先选择,反色,再用stegsolve打开找通道,会找到密文秘钥(加密解密先不讲)
3、压缩文件处理
文件加密需要破解或者伪加密
3.1压缩文件分析
(1)伪加密
使用场景:伪加密文件
操作方法:使用winhex打开压缩文件,找到文件头起第九第十个字符(2个数算一个字符),将其改为0000.
----使用winhex打开文件搜索16进制504B0102(文件头),就可以看到每个加密文件的文件头字段。
----从50开始计算,第九第十个字符为加密字段,将其设置为0000即可变成无加密状态
----RAR文件由于有头部校验,使用伪加密时打开文件会出现报错,使用winhex修改标志为后如报错消失且正常解压缩,说明是伪加密。使用winhex打开rar文件,找到第24个字节,该字节尾数为4表示加密,0表示无加密,将尾数改为0既可破解伪加密
(2)暴力破解
使用场景:Windows下加密过的zip文件
----攻击类型选暴力破解
工具:ARCHPR、
(3)明文攻击
使用场景:一直加密的zip部分明文内容
如果找不到口令,下面那个加密秘钥可能是flag
----有一个明文文件。压缩后crc值与加密压缩包中的文件一致
----明文文件的压缩算法需要与加密压缩文件的压缩算法一致
压缩算法:deflate (2345好压)store
RAR文件格式:
4、流量取证技术
磁盘取证 内存取证
题目给一个流量包,信息提取出来或直接可以得到flag
4.1流量包文件分析
(1)wireshark过滤器(win下电脑可能有,先找一下)、、
例子:
语法命令: 过滤IP:如源IP或者目标X.X.X.X
Ip.src eq x.x.x.x or ip.dst eq x.x.x.x 或者ip.addr eq x.x.x.x
过滤端口:
tcp.port eq 80 or udp.port eq 80
tcp.dstport ==80 只显示tcp协议的目标端口为80
Tcp.srcport ==80 只显示tcp协议的源端口为80
Tcp.port >=1 nd tcp.port <=80
过滤协议:
Tcp/udp/arp等等
过滤MAC
eth.dst == A0:00:00:04:C5:84 过滤咪表mac
包长度过滤
udp.length==26 这个长度是指udp本身固定长度8加上
tcp.len>=7指的是ip数据包(tcp下面那块数据)
不包括ip.len==94除了以太网头固定长度14,
其他都算是ip.len
frame.len==119整个数据包长度,从eth开始到最后
http模式过滤
Contains 先查找是不是包含某个字段
Wireshark协议分析
统计----协议分级
右键----作为过滤器应用----选中
Wireshark流汇聚
Wireshark数据提取
文件—导出对象—http
右键—导出分组字节流
4.2无线流量包密码
(1)无线wifi密码
协议分析发现只有wireless LAN协议,很有可能是wpa 或者wep加密的无线数据包
(2)Aircrack-ng工具进行WiFi密码破解(win下)
用aircrack-ng检查cap包: aircrack-ng xxx.cap
用aircrack-n跑字典进行握手包破解:aircrack-ng xxx.cap -w pass.txt
4.3USB流量包文件分析
USB协议的数据部分在leftover capture data域之中
右键-leftover capture data -->应用为列
阅读文档:
(土方法 不好用)
(专业)----在还用五笔打出 害
运行脚本:
(名字需要改–flag可能是1可能是2)
工具(软件)
是倒过来的
这个工具是正的
Github 有
4.4HTTPS流量包文件分析
HTTPS=http+tls
4554
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
