浅析杂项
大部分仅给出知识点及相关解密工具,具体的需要自己去了解,杂项都很有意思,推荐直接边做题边学。
图片隐写
-
信息隐藏在图片中,可以将图片拉入notepad++中,观察处理处理notepad++中的信息。
-
盲水印,解密脚本
-
将图片丢进winhex中(可用来检查、修复文件;也可以看到其他程序隐藏起来的文件和数据)观察文件头是否被修改,下面附上常见的文件头网址
文件头网址。jpg的结束符:FF D9 -
binwalk查看文件的组成,分离文件。
-
PNG文件修改高度
-
最低有效位隐写,用stegsolve解密(如果是8位BMP用画图打开另存为png再用stegsolve解密)
下面附上分离文件的几种办法:
1)使用dd命令分离(linux/unix下)
例如:# dd if=carter.jpg of=carter-1.jpg skip=140147 bs==1
2)使用foremost工具分离
Linux安装命令:# apt-get install foremost
最简单的分离命令:foremost xxxx.jpg
3)hex编辑器分析文件(通常使用winhex/101editor)
补充:jpg格式文件开始的2字节是图像开始SOI(Start of Image,SOI)为FF D8,之后2个字节是JFIF应用数据块APPO(JFIF application segment)为FF E0 ,最后2个字节是图像文件结束标记EOI(end-of-file)为FF D9
Alt+1快捷键选取FF为开始的块,Alt+2选取D9为结束块,然后右键->Edit->Copy Block->Into New File保存相应的文件后缀
注:遇到.png里面有.zlib时,进行解压的方式:(python代码)
1.
from zlib import *
data = open('task-ctf_06_tgF28nL.png', 'rb').read()[0x97E4:]
print data
data = decompress(data)
print data
2.
import zlib
import binascii
import base64
id=''
result =binascii.unhexlify(id)
print result
result = zlib.decompress(result)
print result
3.
import zlib
import binascii
IDAT = "".decode( 'hex')
print IDAT
result = zlib.decompress(IDAT)
print result
-
遇到加密情况时候使用Linux的crunch创建字典进行爆破。
-
尝试将图片文件后缀改成.zip的压缩格式。
-
图片不完全的情况下,通过搜图引擎查找。
-
exif隐藏的隐写:通过属性观察得到flag
音频隐写
-
音频文件用音频工具Audacity打开,分析音频。查看频谱图。
-
将音频谱对应写出摩斯电吗,然后进行解密。
-
慢扫描信号 工具MMSSTV
-
电话拨号音
-
MP3文件MP3Stego分解出txt文件。
-
特殊情况:使用Silenteye SilentEye是一个跨平台的应用程序设计,可以轻松地使用隐写术,在这种情况下,可以将消息隐藏到图片或声音中。它提供了一个很好的界面,并通过使用插件系统轻松集成了新的隐写算法和加密过程。
文本隐写
- SNOW加密
- Base64隐写
- 与佛论禅加密 解密网站
- 字母频率(按照字母出现的频率高低进行排序,得到flag) 解密用python中的
collections.Counter()
- base16/32/64/85 用CaptfEncoder和相关网站解密
- rot13/18/47
- 栅栏密码
- 凯撒密码
- 键盘密码
- 猪圈密码(大多在图片中出现)
- 摩斯密码
- 进制转换
- jsfuck
- brainfuck/ook
压缩包类
- 暴力破解 工具ARCHPR
- 明文攻击 ARCHPR
- zip伪加密 winrar修复压缩包(不一定管用)或者16进制编辑器修改文件
其他
- NTFS数据流 windows中用
dir /r
命令查看 - Word隐藏文字 设置word显示隐藏字符
- 二维码修复/残缺二维码信息读取 QrazyBox
- 流量分析 Wireshark/tshark
- 内存/磁盘取证 取证大师/volatility
工具使用
1.WireShark使用(流量分析win版)
https://blog.csdn.net/sinat_32176267/article/details/78297361
2.tshark使用(流量分析Linux版)
https://www.cnblogs.com/liun1994/p/6142505.html
3.stegsolve使用(图片隐写查看)
https://blog.csdn.net/dyw_666666/article/details/88650738
4.QR research(二维码识别)
https://blog.csdn.net/parasoft/article/details/82501520
5.MP3Stego使用(MP3隐写)
https://blog.csdn.net/myloveprogrmming/article/details/52641916
6.利用AU分离声道进而获得一段摩尔斯电码音频:看波的宽度分辨长短音
比较细的就是短音,代表"."
比较粗的就是长音,代表"-"
中间的间隔就是" "
7.压缩包密码暴力破解archprC
8.logic使用(逻辑分析仪使用)
https://blog.csdn.net/wofreeo/article/details/80945582
同时附上隐写术参考网址:
https://www.cnblogs.com/jiaxinguoguo/p/7351202.html
zlib的解压
https://blog.csdn.net/qq_40574571/article/details/80164981?tdsourcetag=s_pcqq_aiomsg
练习平台
在这里推送几个练习平台,请务必练习,如有不会的题可以在网上搜索其题解(WP)
南邮CTF:
https://cgctf.nuptsast.com/login
实验吧:
http://www.shiyanbar.com/ctf/
Bugku:
https://ctf.bugku.com/
Xctf:
https://adworld.xctf.org.cn/
其他说明
因仅作纳新使用,暂不对较有深度的类型做出说明,见谅。以上整理来源于QUST-SEC团队成员