目錄
雜項題的基本解題思路:
簡單在於用工具
1、文件操作與隱寫
給你一個文件(例如flag藏在國旗裏面),
1.1文件類型識別
(1)file命令 (工具–Linux系統下的文件識別的命令)
使用場景:不知道後綴名,無法打開文件
格式:file myheart
(2)Winhex
使用場景:window下通過文件頭信息判斷文件類型
常見的文件頭:
工具:winhex十六進制的文件編輯器
Notepad++ --插件–paxediter 看文件頭部
010editor 16進制編輯器 左邊16進制 右邊阿斯克碼
(3)文件頭殘缺/錯誤
使用場景:頭文件殘缺或文件頭部字段錯誤無法打開
格式:file 文件名
工具:010editor 可以直接在左側插入你猜測的文件頭
1.2文件分離操作
(1)Binwalk工具(Linux下)
用法:分析文件:binwalk filename
分離文件:binwalk -e filename (自動分離出一個文件夾zip+key.txt)
(2)foremost工具(Linux下)–binwalk分離不出來用它
用法:foremost 文件名 -o 輸出目錄名
出現兩個文件夾,幫你分類—原來文件+壓縮包
(3)Dd 命令(Linux下)
格式:dd if=源文件 of=目標文件名bs=1 skip=開始分離的字節數
例子:dd if=1.txt of2.txt bs=1 count=3 skip=1
參數說明:
Count 塊 分成最後的那個塊,然後跳過中間的,就得到了
用法:先用binwalk 查看分界點,再用dd命令分割
(4)Winhex(Linux下)
用法與5思路像
(5)010ditor(Linux下)
用法:選中所需的十六進制保存 用selection—> save selection
例子:一個txt用工具打開,另存爲rar壓縮包
1.3文件合併操作
(1)Linux下的文件合併
格式:cat合併文件>輸出的文件//cat查看的意思
完整性檢測:md5 文件名
例子:cat gif01 gif02 gif03 gif04 > 1.gif
md5sum 1.gif
(2)Window下
格式:copy/B 合併文件輸出的文件命令
完整性檢測:certutil -hashfile 文件名 md5
例子:copy /B gif01+gif02+gif03+gif04 2.gif
certutil -hashfile 2.gif md5
如果識別不了 可能是缺少頭文件
1.4文件內容隱寫
winhex/010editor
查找
2、圖片隱身術
2.1 圖片文字隱寫
(1)細微的顏色差別(利用工具)
(2)Gif圖多幀隱藏
顏色通道隱藏
不同幀圖信息隱藏
不同幀對比隱寫
(3)Exif信息隱藏
朋友圈圖片 泄露位置信息
(4)圖片修復
圖片頭修復
圖片尾修復
CRC校驗修復
長寬高度修復
(5)最低有效位LSB隱寫
Rgb裏面
(6)圖片加密
Stegdetect
Outguess
Jphide
FS
2.2 圖片文件隱寫(—善用工具**)
(1)Firework(工具)
使用場景:查看隱寫的圖片文件
(2)Exif(工具/命令win)
圖片右鍵屬性–>詳細信息(可能含有提示/flag)–可能會含有地址經緯度
命令行:exiftool 文件名
例子: exiftool exif.jpg
(3)Stegsolve.jar(工具)
使用場景:兩張圖片信息(外觀、大小、像素)基本相同
步驟:打開第一張圖片點擊analyso>imago combiner
在彈出的窗口中點擊左右按鈕選擇處理方式,點save保存有價值結果
//jar包可以直接打開!! 直接定位圖片位置
先打開下載的圖片 再打開原來圖片
(4)LSB(最低有效位least signigicant bit)
像素三原色
通過修改像素中最低位的1bit來達到隱藏效果
工具:stegsolve、zsteg(Linux下)、wbstego4、python腳本
圖 1例子:題直接可以列出
.bmp用wbstego4
(5)TweakPNG
使用場景:文件頭正常卻無法打開文件,利用tweakpng修改CRC–校驗值
然後直接用16進制編輯器改回來正確的校驗值
例子: 用python腳本做
CQR 二維碼掃描
(6)Bftools
使用場景:在windows的cmd下,對加密過的圖片文件進行編輯
格式: Bftools.Exe decode traincopter 要解密的圖片名稱-output輸出文件名
Bftools.exe run 上一步輸出的文件
(7)SilentEye
使用場景:Windows下打開silenteye工具,對加密的圖片進行解密
(8)Jpg圖像加密(專門針對jpg)//條敏感度 -s
Stegdetect
(9)二維碼處理
(摳圖 定位點)
黑白二維碼:二維碼取反 先選擇,取反
如果是彩色的: 先選擇,反色,再用stegsolve打開找通道,會找到密文祕鑰(加密解密先不講)
3、壓縮文件處理
文件加密需要破解或者僞加密
3.1壓縮文件分析
(1)僞加密
使用場景:僞加密文件
操作方法:使用winhex打開壓縮文件,找到文件頭起第九第十個字符(2個數算一個字符),將其改爲0000.
----使用winhex打開文件搜索16進制504B0102(文件頭),就可以看到每個加密文件的文件頭字段。
----從50開始計算,第九第十個字符爲加密字段,將其設置爲0000即可變成無加密狀態
----RAR文件由於有頭部校驗,使用僞加密時打開文件會出現報錯,使用winhex修改標誌爲後如報錯消失且正常解壓縮,說明是僞加密。使用winhex打開rar文件,找到第24個字節,該字節尾數爲4表示加密,0表示無加密,將尾數改爲0既可破解僞加密
(2)暴力破解
使用場景:Windows下加密過的zip文件
----攻擊類型選暴力破解
工具:ARCHPR、
(3)明文攻擊
使用場景:一直加密的zip部分明文內容
如果找不到口令,下面那個加密祕鑰可能是flag
----有一個明文文件。壓縮後crc值與加密壓縮包中的文件一致
----明文文件的壓縮算法需要與加密壓縮文件的壓縮算法一致
壓縮算法:deflate (2345好壓)store
RAR文件格式:
4、流量取證技術
磁盤取證 內存取證
題目給一個流量包,信息提取出來或直接可以得到flag
4.1流量包文件分析
(1)wireshark過濾器(win下電腦可能有,先找一下)、、
例子:
語法命令: 過濾IP:如源IP或者目標X.X.X.X
Ip.src eq x.x.x.x or ip.dst eq x.x.x.x 或者ip.addr eq x.x.x.x
過濾端口:
tcp.port eq 80 or udp.port eq 80
tcp.dstport ==80 只顯示tcp協議的目標端口爲80
Tcp.srcport ==80 只顯示tcp協議的源端口爲80
Tcp.port >=1 nd tcp.port <=80
過濾協議:
Tcp/udp/arp等等
過濾MAC
eth.dst == A0:00:00:04:C5:84 過濾咪表mac
包長度過濾
udp.length==26 這個長度是指udp本身固定長度8加上
tcp.len>=7指的是ip數據包(tcp下面那塊數據)
不包括ip.len==94除了以太網頭固定長度14,
其他都算是ip.len
frame.len==119整個數據包長度,從eth開始到最後
http模式過濾
Contains 先查找是不是包含某個字段
Wireshark協議分析
統計----協議分級
右鍵----作爲過濾器應用----選中
Wireshark流匯聚
Wireshark數據提取
文件—導出對象—http
右鍵—導出分組字節流
4.2無線流量包密碼
(1)無線wifi密碼
協議分析發現只有wireless LAN協議,很有可能是wpa 或者wep加密的無線數據包
(2)Aircrack-ng工具進行WiFi密碼破解(win下)
用aircrack-ng檢查cap包: aircrack-ng xxx.cap
用aircrack-n跑字典進行握手包破解:aircrack-ng xxx.cap -w pass.txt
4.3USB流量包文件分析
USB協議的數據部分在leftover capture data域之中
右鍵-leftover capture data -->應用爲列
閱讀文檔:
(土方法 不好用)
(專業)----在還用五筆打出 害
運行腳本:
(名字需要改–flag可能是1可能是2)
工具(軟件)
是倒過來的
這個工具是正的
Github 有
4.4HTTPS流量包文件分析
HTTPS=http+tls