Misc 是英文 Miscellaneous 的前四个字母,杂项、混合体、大杂烩的意思。
Misc 在国外的比赛中其实又被具体划分为各个小块,有
Recon、Forensic、Stego、Misc…
在国内内的比赛中,被统一划分入 Misc 领域,有时 Crypto(尤其是古典密码)也被划入其中。
杂项大致有几种类型:
流量分析
隐写
压缩包处理
文件格式分析
攻击取证
主要介绍一些获取信息的渠道和一些利用百度、谷歌等搜索引擎的技巧
Encode(编码转换)
主要介绍在 CTF 比赛中一些常见的编码形式以及转换的技巧和常见方式
Forensic && Stego(数字取证 && 隐写分析)
隐写取证是 Misc 中最为重要的一块,包括文件分析、隐写、内存镜像分析和流量抓包分析等等,涉及巧妙的编码、隐藏数据、层层嵌套的文件中的文件,灵活利用搜索引擎获取所需要的信息等等。
CTF 中 Misc 与现实中的取证不同,现实中的取证很少会涉及巧妙的编码加密,数据隐藏,被分散嵌套在各处的文件字符串,或是其他脑洞类的 Chanllenge。很多时候是去精心恢复一个残损的文件,挖掘损坏硬盘中的蛛丝马迹,或者从内存镜像中抽取有用的信息。
现实的取证需要从业者能够找出间接的恶意行为证据:攻击者攻击系统的痕迹,或是内部威胁行为的痕迹。
实际工作中计算机取证大部分是从日志、内存、文件系统中找出犯罪线索,并找出与文件或文件系统中数据的关系。
而流量取证比起内容数据的分析,更注重元数据的分析,也就是当前不同端点间常用TLS加密的网络会话。
Misc 是切入 CTF 竞赛领域、培养兴趣的最佳入口。Misc 考察基本知识,对安全技能的各个层面都有不同程度的涉及,可以在很大程度上启发思维。(Misc题目也可称作脑洞题)
流量控制
CTF 比赛中,流量包的取证分析是另一项重要的考察方向。
通常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。
PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。
主要工具是wireshark,需要熟练掌握使用方法,过滤器语法、追踪流、导出文件
文本格式分析
常见文件头和文件尾的16进制编码:
JPEG (jpg) 文件头:FFD8FF 文件尾:FF D9
PNG (png) 文件头:89504E47 文件尾:AE 42 60 82
GIF (gif) 文件头:47494638 文件尾:00 3B ZIP Archive (zip) 文件头:504B0304 文件尾:50 4B
TIFF (tif), 文件头:49492A00
RAR Archive (rar), 文件头:52617221
Windows Bitmap (bmp), 文件头:424D
Adobe Photoshop (psd), 文件头:38425053
Rich Text Format (rtf), 文件头:7B5C727466
XML (xml), 文件头:3C3F786D6C
HTML (html), 文件头:68746D6C3E
Outlook Express (dbx), 文件头:CFAD12FEC5FD746F
Outlook (pst), 文件头:2142444E
MS Word/Excel (xls.or.doc), 文件头:D0CF11E0
MS Access (mdb), 文件头:5374616E64617264204A
WordPerfect (wpd), 文件头:FF575043
Adobe Acrobat (pdf), 文件头:255044462D312E
Quicken (qdf), 文件头:AC9EBD8F
…
杂项题目主要是以文件附件作为题目,但是给的文件不一定是有后缀名的,这就需要我们识别这些文件。
文件分离
介绍了文件类型的识别方法了,接下来来讲一下文件分离
文件分离的原因:
在CTF这个充满脑洞的比赛中,出题人往往会以一些稀奇古怪的出题方式出题,因此你可以常常看见暴打出题人等字眼出现在比赛论坛中。在CTF中一个文件中隐藏着另外其他文件的题目是经常有的。这就需要掌握文件分离的技巧来应对。
图片隐写
图像隐写术进行数据隐写分为以下几类:
1.在图片右击-属性-详细信息中隐藏数据信息;
2.将数据类型进行改写(rar类型数据 将其改写成jpg格式);
3.根据各种类型图像的固定格式,隐藏数据修改图像开始标志,改变其原有图像格式,在图像结束标志后加入数据,在图像数据中假如数据,不影响视觉效果情况下修改像素数据,加入信息;
4.利用隐写算法将数据隐写到图像中而不影响图像(仅限于jpg图像),隐写算法常见有F5、Guess、JSteg和JPHide等。
特别是关于图片隐写的问题,一般有修改图片格式、图片大小、或者图片中隐藏着zip压缩包等内容,通过合理的分析,合理的工具帮助下可以很轻松拿到flag。