写在前面
今天一天速成了Misc,感觉被安排了555……小萌新躲在角落里瑟瑟发抖……不废话了,还是递上XU老师的宝典好啦~
Misc
Misc两个方向:Encode + Forensic&&Steg
0x00:Recon 信息搜集
狭义Recon:社工 广义Recon:anywhere
社工:社工库-贴吧-QQ-猜域名(信息搜集技巧也体现在渗透测试)(Google搜索语法)
0x01:Encode 编码 解码以及相互间的转换
常见:Bin Dec Hex Base64 URL ASCII 摩斯编码 曼彻斯特编码
1.二进制编码的Misc:二进制编码是用预先规定的方法将文字、数字或其他对象编成二进制的数码,或将信息、数据转换成规定的二进制电脉冲信号
2.相互转换:
· ASCII:7或8位的二进制转换为ASCII
· QR code:二进制转换为二维码
特征:长度为平方数
图形码(条形码、二维码)
丢网址:Free Online Barcode Reader
二维码修复:补全扫描 有的时候把定位的小方框去掉,补全小方框即可
gif与二维码结合:将二维码分割成一个个的小块
· 字符画(较难想到)(不一定是0101表示 可能不是二进制 也可能仅仅是两种不同元素的排列组合表示的信息)
· 摩斯:二进制先转换为ASCII,ASCII中09 20交替即表示 . -交替
此外,还有音频中的摩斯(杂声)
· Base64(Base32/Base16/b85):(留心出现Base64的原因 人为嵌入还是包含文件信息)
编码后的数据包含:A-Z a-z 0-9 + / 还有填充字符=
【注】Base64中 一个=对应2bit的隐藏信息位 ;在解码时,有一个=,砍掉后面6bit的0还有2bit的隐藏信息位,还原
例:001100 - M 若00处隐藏信息11,则变为 001111 - P
若有2个= 即==,则隐藏4bit的信息
不改变原有的内容,在编码时隐藏信息(Base64隐写解密的脚本)
Base85仅在Python3的脚本中(import base包)出现,在Base64基础上进行的扩展 引入了?等,出现不多
CTF中的编码(丢网址):CTF中那些脑洞大开的编码和加密
古典密码常常和misc结合紧密,此外,还有一些混淆加密,如asp、php、css/js、VBScript Encode
XU老师还给出了misc的常用工具
0x02:Forensic&&Steg
常见取证对象:
1.picture:jpg png(主要) gif bmp
2.音频/视频:audio/video
3.压缩包:zip(主要) rar xz
4.流量包分析(重要)
5.磁盘文件、内存镜像 vradk img vol
6.pdf word
7.pyc
要熟悉几个文件头
MetaData
• Identifiy 获取图形文件的格式与特性(对散乱数据提取有用)
jpg文件隐写检测的软件:stegdetect jpg是有损压缩
png文件:文件头(8950) IHDR PLTE IDAT IEND
IHDR:更改高度、根据CRC对数据进行校验
LSB:在最低有效位进行修改 对图片影响较小 在最高有效位进行修改 对图片影响较大
gif:convert可以对图片进行切割 再使用python脚本进行拼图
音频类:频谱拉伸变换
zip:攻击手法:循环爆破 伪加密(trick:010 直接将 0100改为0000 或者 binwalk -p直接无视加密 或者 zipCenOp处理伪加密) CRC32 明文攻击
流量分析:1.修复fix:pcapfix 2.协议分析:wireshark 3.数据提取:tshark
常见协议:http https dns ftp
内存文件:进程、文件、用户
Final
感觉自己好菜鸡呀……给各位dalao递茶
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
