CTF入门笔记---杂项

  • A+
所属分类:CTF专场

目录

CTF入门笔记---杂项


杂项题的基本解题思路:


简单在于用工具

1、文件操作与隐写


给你一个文件(例如flag藏在国旗里面)
1.1文件类型识别
(1)file命令 (工具–Linux系统下的文件识别的命令)
使用场景:不知道后缀名,无法打开文件
格式:file myheart
(2)Winhex
使用场景:window下通过文件头信息判断文件类型
常见的文件头:
工具:winhex十六进制的文件编辑器
Notepad++ --插件–paxediter 看文件头部
010editor 16进制编辑器 左边16进制 右边阿斯克码
(3)文件头残缺/错误
使用场景:头文件残缺或文件头部字段错误无法打开
格式:file 文件名
工具:010editor 可以直接在左侧插入你猜测的文件头


1.2文件分离操作
(1)Binwalk工具(Linux下)
用法:分析文件:binwalk filename
分离文件:binwalk -e filename (自动分离出一个文件夹zip+key.txt)
(2)foremost工具(Linux下)–binwalk分离不出来用它
用法:foremost 文件名 -o 输出目录名
出现两个文件夹,帮你分类—原来文件+压缩包
(3)Dd 命令(Linux下)
格式:dd if=源文件 of=目标文件名bs=1 skip=开始分离的字节数
例子:dd if=1.txt of2.txt bs=1 count=3 skip=1
参数说明:
           Count 块 分成最后的那个块,然后跳过中间的,就得到了
          用法:先用binwalk 查看分界点,再用dd命令分割
(4)Winhex(Linux下)
用法与5思路像
(5)010ditor(Linux下)
用法:选中所需的十六进制保存 用selection—> save selection
          例子:一个txt用工具打开,另存为rar压缩包


1.3文件合并操作
(1)Linux下的文件合并
格式:cat合并文件>输出的文件//cat查看的意思
完整性检测:md5 文件名
例子:cat gif01 gif02 gif03 gif04 > 1.gif
md5sum 1.gif
(2)Window下
格式:copy/B 合并文件输出的文件命令
完整性检测:certutil -hashfile 文件名 md5
例子:copy /B gif01+gif02+gif03+gif04 2.gif
certutil -hashfile 2.gif md5
如果识别不了 可能是缺少头文件


1.4文件内容隐写

winhex/010editor
查找


CTF入门笔记---杂项

2、图片隐身术
2.1 图片文字隐写

(1)细微的颜色差别(利用工具)
(2)Gif图多帧隐藏
          颜色通道隐藏
         不同帧图信息隐藏
         不同帧对比隐写
(3)Exif信息隐藏
         朋友圈图片 泄露位置信息
(4)图片修复
         图片头修复
         图片尾修复
         CRC校验修复
         长宽高度修复
(5)最低有效位LSB隐写
         Rgb里面
(6)图片加密
         Stegdetect
         Outguess
         Jphide
         FS


2.2 图片文件隐写(—善用工具**)
(1)Firework(工具)
         使用场景:查看隐写的图片文件
(2)Exif(工具/命令win)
         图片右键属性–>详细信息(可能含有提示/flag)–可能会含有地址经纬度
         命令行:exiftool 文件名
         例子:exiftool exif.jpg
(3)Stegsolve.jar(工具)
         使用场景:两张图片信息(外观、大小、像素)基本相同
         步骤:打开第一张图片点击analyso>imago combiner
         在弹出的窗口中点击左右按钮选择处理方式,点save保存有价值结果
         //jar包可以直接打开!!直接定位图片位置
         先打开下载的图片 再打开原来图片
(4)LSB(最低有效位least signigicant bit)
         像素三原色
         通过修改像素中最低位的1bit来达到隐藏效果
         工具:stegsolve、zsteg(Linux下)、wbstego4、python脚本

         图 1例子:题直接可以列出
         .bmp用wbstego4

(5)TweakPNG
         使用场景:文件头正常却无法打开文件,利用tweakpng修改CRC–校验值
         然后直接用16进制编辑器改回来正确的校验值
         例子:用python脚本做

         CQR 二维码扫描
(6)Bftools
         使用场景:在windows的cmd下,对加密过的图片文件进行编辑
         格式:Bftools.Exe decode traincopter 要解密的图片名称-output输出文件名
         Bftools.exe run 上一步输出的文件

(7)SilentEye
         使用场景:Windows下打开silenteye工具,对加密的图片进行解密

(8)Jpg图像加密(专门针对jpg)//条敏感度 -s
         Stegdetect

(9)二维码处理

         (抠图 定位点)
         黑白二维码:二维码取反 先选择,取反
         如果是彩色的:先选择,反色,再用stegsolve打开找通道,会找到密文秘钥(加密解密先不讲)


3、压缩文件处理

         文件加密需要破解或者伪加密


3.1压缩文件分析
(1)伪加密
         使用场景:伪加密文件
         操作方法:使用winhex打开压缩文件,找到文件头起第九第十个字符(2个数算一个字符),将其改为0000.
         ----使用winhex打开文件搜索16进制504B0102(文件头),就可以看到每个加密文件的文件头字段。
         ----从50开始计算,第九第十个字符为加密字段,将其设置为0000即可变成无加密状态
         ----RAR文件由于有头部校验,使用伪加密时打开文件会出现报错,使用winhex修改标志为后如报错消失且正常解压缩,说明是伪加密。使用winhex打开rar文件,找到第24个字节,该字节尾数为4表示加密,0表示无加密,将尾数改为0既可破解伪加密
(2)暴力破解
         使用场景:Windows下加密过的zip文件
         ----攻击类型选暴力破解

         工具:ARCHPR、

(3)明文攻击
         使用场景:一直加密的zip部分明文内容

         如果找不到口令,下面那个加密秘钥可能是flag

         ----有一个明文文件。压缩后crc值与加密压缩包中的文件一致
         ----明文文件的压缩算法需要与加密压缩文件的压缩算法一致
         压缩算法:deflate (2345好压)store
         RAR文件格式:


4、流量取证技术

         磁盘取证 内存取证
         题目给一个流量包,信息提取出来或直接可以得到flag
4.1流量包文件分析

(1)wireshark过滤器(win下电脑可能有,先找一下)、、
         例子:
         语法命令:过滤IP:如源IP或者目标X.X.X.X
         Ip.src eq x.x.x.x or ip.dst eq x.x.x.x 或者ip.addr eq x.x.x.x
过滤端口:
         tcp.port eq 80 or udp.port eq 80
         tcp.dstport ==80 只显示tcp协议的目标端口为80

         Tcp.srcport ==80 只显示tcp协议的源端口为80

         Tcp.port >=1 nd tcp.port <=80
         过滤协议:
         Tcp/udp/arp等等
         过滤MAC
         eth.dst == A0:00:00:04:C5:84 过滤咪表mac
         包长度过滤
         udp.length==26 这个长度是指udp本身固定长度8加上
         tcp.len>=7指的是ip数据包(tcp下面那块数据)

         不包括ip.len==94除了以太网头固定长度14,

         其他都算是ip.len
         frame.len==119整个数据包长度,从eth开始到最后
         http模式过滤

         Contains 先查找是不是包含某个字段
         Wireshark协议分析
         统计----协议分级
         右键----作为过滤器应用----选中
         Wireshark流汇聚

         Wireshark数据提取
         文件—导出对象—http
         右键—导出分组字节流


4.2无线流量包密码

(1)无线wifi密码
         协议分析发现只有wireless LAN协议,很有可能是wpa 或者wep加密的无线数据包

(2)Aircrack-ng工具进行WiFi密码破解(win下)
         用aircrack-ng检查cap包:aircrack-ng xxx.cap

         用aircrack-n跑字典进行握手包破解:aircrack-ng xxx.cap -w pass.txt


4.3USB流量包文件分析

         USB协议的数据部分在leftover capture data域之中
         右键-leftover capture data -->应用为列

阅读文档:

       (土方法 不好用)

       (专业)----在还用五笔打出 害

运行脚本:

     (名字需要改–flag可能是1可能是2)

      工具(软件)

      是倒过来的

       这个工具是正的

      Github 有


4.4HTTPS流量包文件分析

      HTTPS=http+tls



CTF入门笔记---杂项


转载自CSDN,作者:kry1007 链接:https://blog.csdn.net/qiyihan/article/details/105644913?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-4.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-4.nonecase


本文始发于微信公众号(LemonSec):CTF入门笔记---杂项

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: