MISC:基本思路 · 常用命令
解题思路 · 常用命令
- Linux命令
- binwalk
- foremost
- dd
- cat
- md5sum
- exiftool
- zsteg
- aircrack-ng
- Windows命令
- copy
- certutil
- 命令汇总
- 分离文件
- 合并文件
- 基本解题思路
- 图片文件隐写
- 压缩文件分析
- 流量取证分析
Linux命令
binwalk
分析文件:binwalk 文件名
分离文件:binwalk -e 文件名
foremost
分离文件:foremost 文件名 -o 输出目录名
dd
命令格式:dd if=源文件名 of=目标文件名 bs=字节数 count块数 skip=字节数
可以结合binwalk使用
太过麻烦,也可使用winhex手动分离
cat
合并文件:cat 第1个合并的文件 ...... 第n个合并的文件 > 输出的文件
md5sum
计算文件md5:md5sum 文件名
exiftool
分析属性:exiftool 文件名
zsteg
安装zsteg工具:gem install zsteg
检测LSB隐写:zsteg 文件名
aircrack-ng
检查cap包:aircrack-ng cap包文件名
跑字典进行握手包破解:aircrack-ng cap包文件名 -w 字典文件名
Windows命令
copy
合并文件:copy /B 第1个合并的文件+......+第n个合并的文件 输出的文件
certutil
计算文件md5:certutil -hashfile 文件名 md5
命令汇总
分离文件
Linux
binwalk -e 文件名
foremost 文件名 -o 输出目录名
dd if=源文件名 of=目标文件名 bs=字节数 count块数 skip=字节数
合并文件
Linux
cat 第1个合并的文件 ...... 第n个合并的文件 > 输出的文件
Windows
copy /B 第1个合并的文件+......+第n个合并的文件 输出的文件
基本解题思路
图片文件隐写
exif
查看详细信息像素RGB值进行XOR、SUB、ADD等操作
LSB替换隐写
可使用zsteg命令分析
可使用python脚本分析PNG图片打不开时可尝试通过TweakPNG校验CRC
可结合Winhex使用
循环冗余校验码(CRC),简称循环码,是一种常用的、具有检错、纠错能力的校验码,在早期的通信中运用广泛。循环冗余校验码常用于外存储器和计算机同步通信的数据校验。
图片高度或宽度出错
使用Bftools工具解密图片
Windows命令:
1、bftools.exe decode braincopter 要解密的图片名称 –output 输出文件名
2、bftools.exe run 上一步输出的文件
Stegdetect工具探测加密方式
主要用于分析JPEG文件
Linux命令:
stegdetect 文件名
stegdetect -s 敏感度 文件名
压缩文件分析
伪加密
暴力破解zip
使用Ziperello工具
使用ARCHPR工具
流量取证分析
- WireShark过滤器
常用的过滤命令
(“eq”可以用“==”代替)
1、过滤IP
ip.src eq ip地址
:源IP
ip.dst eq ip地址
:目标IP
ip.addr eq ip地址
例:
ip.src eq 192.168.7.146 or ip.dst eq 1.1.1.1
2、过滤端口
tcp.port eq 端口号
udp.port eq 端口号
tcp.dstport == 端口号
:只显示tcp协议且为特定目标端口
tcp.srcport == 端口号
:只显示tcp协议且为特定源端口
tcp.port >= 端口号1
tcp.port <= 端口号2
例:
tcp.port eq 192.168.7.146 or udp.port eq 192.168.7.146
tcp.port >= 1 and tcp.port <= 80
3、过滤协议
协议名
例:
tcp/udp/arp/icmp/http/ftp/dns/ip…
4、过滤MAC
eth.dst == MAC地址
:只显示为特定目标mac
例:
eth.dst == A0:00:00:04:C5:84
5、包长度过滤
udp.length == 长度
:指udp本身固定长度8加上udp下面数据包之和
tcp.len >= 长度
:指ip数据包,不包括tcp本身
ip.len == 长度
:除了以太网头固定长度14的其他部分,即从ip本身到最后
frame.len == 长度
:整个数据包长度,从eth开始到最后
例:
udp.length == 28
tcp.len >= 6
ip.len == 90
frame.len == 128
6、协议模式过滤
http.request.method == "请求方法名"
http.request.uri == "uri路径"
[协议] contains "字符串"
例:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo.gif”
http contains “GET”
http contains “HTTP/1.1”
http contains “flag”
http contains “key”
tcp contains “flag”
http.request.method == “GET” && http contains “User-Agent:”
- WireShark流汇聚
1、HTML中直接包含重要信息
2、上传或下载文件内容,通常包含文件名、hash值等关键信息,常用POST请求上传
3、一句话木马,POST请求,内容包含eval,内容使用base64加密
- WireShark数据提取
1、自动提取传输的文件内容:
文件 -> 导出对象 -> HTTP
2、手动提取文件内容:
无线WiFi流量包破解密码
用 aircrack-ng 工具进行wifi密码破解
检查cap包:aircrack-ng cap包文件名
跑字典进行握手包破解:aircrack-ng cap包文件名 -w 字典文件名
USB流量包文件分析
1、键盘流量抓取分析
Leftover Capture Data 中值与具体键位的对应关系,可参考:https://www.usb.org/hid
Leftover Capture Data 数据提取方式1(此方法不好用):
Leftover Capture Data 数据提取方式2:
利用wireshark提供的命令行工具tshark,可以将leftover capture data数据单独复制出来
Linux及Windows命令:
tshark -r pcap文件 -T fields -e usb.capdata > 输出的txt文件名
2、鼠标流量抓取分析
- HTTPS流量包文件分析
MISC:基本思路 · 常用命令相关推荐
- linux iptables常用命令之配置生产环境iptables及优化
在了解iptables的详细原理之前,我们先来看下如何使用iptables,以终为始,有可能会让你对iptables了解更深 所以接下来我们以配置一个生产环境下的iptables为例来讲讲它的常用命令 ...
- Linux基础常用命令
ps -ef用于查看全格式的全部进程,其中"ps"是在Linux中是查看进程的命令,"-e "参数代表显示所有进程,"-f"参数代表全格式. ...
- windows dos/cmd常用命令
1 窗口 1.1 颜色 1.1.1 帮助 color /? 查看帮助信息 0 = 黑色 8 = 灰色 1 = 蓝色 9 = 淡蓝色 2 = 绿色 A = 淡绿色 3 = 浅绿色 B = 淡浅绿色 4 ...
- linux下mkdir头文件_Linux部分常用命令学习记录
Linux部分常用命令 ls 显示目标列表 ls -a 显示所有档案及目录(ls内定将档案名或目录名称为"."的视为影藏,不会列出): ls -l 以长格式显示目录下的内容列表.输 ...
- android adb 环境,Android安卓环境搭建及ADB常用命令
.md ## 1.下载sdk 下载链接:http://tools.android-studio.org/index.php/sdk ## 2.安装sdk 安装完成,安装目录见下图 安装 ## 3.环境 ...
- Redis数据库(一)——Redis简介、部署及常用命令
文章目录 一.关系数据库与非关系型数据库概述 1.关系型数据库 2.非关系型数据库 3.关系数据库与非关系型数据库区别 ①.数据存储方式不同 ②.扩展方式不同 ③.对事务性的支持不同 4.非关系型数据 ...
- Linux常用命令,超强万字总结!
来自:JAVA小咖秀 链接:https://juejin.im/post/5ee444ea6fb9a047ca10f796 ls 最高使用频率的命令之一. 命令格式: ls [OPTION]... ...
- java虚拟机常用命令工具
java虚拟机常用命令工具 博客分类: 虚拟机 虚拟机jvmjava 一.概述 程序运行中经常会遇到各种问题,定位问题时通常需要综合各种信息,如系统日志.堆dump文件.线程d ...
- Linux常用命令与基本操作、填空题、简答题
文章目录 基本知识点 基本操作 叙述什么是shell? 重启虚拟机网络 分区 查看当前进程 查看主机名 重启 关机 查看IP地址 文件搜索 挂载 查看网络配置 linux系统中Vi的三种模式 磁盘分区 ...
- Linux下netstat常用,Linux netstat常用命令
1.统计80端口连接数 netstat -nat|grep -i "80"|wc -l 2.统计httpd协议连接数(查看Apache的并发请求数及其TCP连接状态) ps -ef ...
最新文章
- [转载]Matlab之静态文本多行输出
- Docker selenium自动化 - Python调用容器实例跑自动化查天气实例演示,docker selenium自动化环境部署过程
- CentOS7安装xfce桌面环境
- 如何恢复被破坏的PowerDesigner pdm文件
- 分享到系统面板_win7电脑没有nvidia控制面板怎么办【解决方法】
- 解决:elasticsearch 更新报错:The number of object passed must be even but was [1]
- 《iOS网络编程与云端应用最佳实践》微博转发送书了!
- React Native移动框架功能研究
- Eclipse中设置自动生成的author,date等注释
- unicode字符和多字节字符的相互转换接口
- 科大讯飞:5年内 科技会场没机器人端茶倒水就太low了
- 图解SynchronousQueue原理详解-非公平模式
- 企鹅医生与杏仁医生签订战略合并协议,全面发力大健康领域
- idm防火墙 windows10_win10解除防火墙阻止的方法
- linux读取excel文件内容,如何读取EXCEL文件到内表
- 区块链技术及实际应用
- 英特尔的新硬件套装使制作机器人和无人机更加简单
- linux日志切割命令,linux日志分割、去重、统计
- 【案例】全国知名网上书城——基于企业中台构建智慧悦读体验
- 使用命令行下载VS2022离线安装文件