CTF杂项题基础(1.文件识别与分离及图片隐写)
CTF杂项(misc)解题技巧
杂项类型
1.隐写
2.压缩包处理
3.流量分析
4.攻击取证
5.其他
文件类型识别
在做misc题的时候有很多以文件附件的题目出现,但是有时候给我们的文件并不一定是以正确的后缀名给我们,属于这个时候就需要我们对文件类型进行识别。
一般我们可以使用fkali中只带的file命令或者十六进制编辑器WinHex
file命令识别
kali中自带有file命令可以用来识别文件的类型和编码格式。使用方法较为简单。
file使用方法
file +参数 +文件名
file参数:
-b 列出辨识结果时,不显示文件名称。
-c 详细显示指令执行过程,便于排错或分析程序执行的情形。
-f<名称文件> 指定名称文件,其内容有一个或多个文件名称时,让file依序辨识这些文件,格式为每列一个文件名称。
-L 直接显示符号连接所指向的文件的类别。
-m<魔法数字文件> 指定魔法数字文件。
-v 显示版本信息。
-z 尝试去解读压缩文件的内容。
通过file命令中的-b参数可以得到我们需要的基本信息。(最后的文件名中需要加入文件的路径)
WinHex编辑器使用
WinHex是一款十六进制编辑器,他是一个比较使用的工具,能够用来编辑二进制文件,对misc类型题有很大的作用。他也可以通过查看文件的头部来判断文件类型。
常见文件头
类型 | 文件头 | 文件尾 |
---|---|---|
JPEG (jpg) | FFD8FF | FFD9 |
PNG (png) | 89504E47 | 0000000049454E44AE426082 |
GIF (gif) | 47494638 | 3B |
ZIP Archive (zip) | 504B0304 | 00000000 |
TIFF (tif) | 49492A00 | |
Windows Bitmap (bmp) | 424D | |
CAD (dwg) | 41433130 | |
Adobe Photoshop (psd) | 38425053 | |
Rich Text Format (rtf) | 7B5C727466 | |
XML (xml) | 3C3F786D6C | |
HTML (html) | 68746D6C3E | |
Email [thorough only] (eml) | 44656C69766572792D646174653A | |
Outlook Express (dbx) | CFAD12FEC5FD746F | |
Outlook (pst) | 2142444E | |
MS Word/Excel (xls.or.doc) | D0CF11E0 | |
MS Access (mdb) | 5374616E64617264204A | |
WordPerfect (wpd) | FF575043 | |
Adobe Acrobat (pdf) | 255044462D312E | |
Quicken (qdf) | AC9EBD8F | |
Windows Password (pwl) | E3828596 | |
RAR Archive (rar) | 52617221 | C43D7B00400700 |
Wave (wav) | 57415645 | |
AVI (avi) | 41564920 | |
Real Audio (ram) | 2E7261FD | |
Real Media (rm) | 2E524D46 | |
MPEG (mpg) | 000001BA | |
MPEG (mpg) | 000001B3 | |
Quicktime (mov) | 6D6F6F76 | |
Windows Media (asf) | 3026B2758E66CF11 | |
MIDI (mid) | 4D546864 |
文件分离
有一些CTF题目中会将目标文件隐藏在其他文件中,这个时候就需要我们对文件进行分离提取来得到我们所需要的文件。
文件分离一般可以使用Binwalk,foremost,dd,fcrackzip 以及WinHex
WinHex
使用WinHex来思想文件分离的方法很简单,将文件在WinHex中打开后,找到我们所要分离的那一部分内容的16进制将他另存一个文件就可以了。
Binwalk
kali是自带有Binwalk的,所以平时使用的时候我们并不需要专门去下载,打开kali就可以了。
命令详解
1.1、固件扫描
命令:binwalk firmware.bin
通过扫描能够智能地发现目标文件中包含的所有可识别的文件类型。
1.2、提取文件
命令:binwalk -e +文件名
选项“-e"和“–extract"用于按照定义的配置文件中的提取方法从固件中提取探测到的文件系统。
命令:binwalk -Me +文件名
选项“-M"和“–matryoshka"用于根据magic签名扫描结果进行递归提取,仅对"-e"和“–dd"选项有效。
命令:binwalk -Me -d 5 +文件名
选项“-d"和“–depth="用于限制递归提取深度,默认深度为8,仅当“-M"选项存在时有效。
命令 dd if=(原文件名) of=(提取文件名)skip=数据地址 bs=1
1.3、显示完整的扫描结果
命令:binwalk -I +文件名
选项"-I"和“–invalid"用于显示扫描的所有结果(即使是扫描过程中被定义为“invalid“的项)。当我们认为binwalk错把有效的文件当成无效文件时,可以通过该选项来检查。
foremost
foremost的使用和Binwalk相类似,foremost也是kali之后自带有的工具,在网上大部分也是linux版本,所以使用的时候也是打开kali就好了。
使用方法
foremost +[参数] +[文件名]
命令详解
-V - 显示版权信息并退出
-t - 指定文件类型. (-t jpeg,pdf …)
-d - 打开间接块检测 (针对UNIX文件系统)
-i - 指定输入文件 (默认为标准输入)
-a - 写入所有的文件头部, 不执行错误检测(损坏文件)
-w - 向磁盘写入审计文件,不写入任何检测到的文件
-o - 设置输出目录 (默认为./output)
-c - 设置配置文件 (默认为foremost.conf)
-q - 启用快速模式. 在512字节边界执行搜索.
-Q - 启用安静模式. 禁用输出消息.
-v - 详细模式. 向屏幕上记录所有消息。
隐写总结
图片隐写
1.压缩包隐藏在图片中
有时候一些misc会将压缩包隐藏在一张图片之中,当我们在得到题目给我们的附件是一张图片时可以先看一看图片的大小,图片太大就会很可能藏有其他文件在图片中。
破解方法:
1.使用kali自带的Binwalk工具来检索图片文件里的其他文件,之后在使用foremost工具来将图片中的压缩包文件分离出来,也可以使用WinHex工具来将文件进行分离,不过WinHex工具相比于foremost工具使用起来会复杂有点。
2.可以直接将图片的后缀名改为zip,然后对文件进行解压。但是这个方法如果遇到图片中存在多个隐写文件的情况下回生效。
2.LSB隐写
LSB隐写又叫做最低有效位隐写,。图片中的像数一般是由三原色组 成,由这三种原色可以组成其他各种颜色,LSB 隐写就是修改了像数中的最低的 1bit,写入加密信息,而人眼无法注意到前后的变化。
遇到LSB隐写的题目,我们可以使用工具Stegsolve来进行破解。
Stegsolve是一个非常使用的隐写工具,下载也很方便,只要电脑拥有java环境就可以运行Stegsolve。
Stegsolve使用说明
在Stegsolve的工具栏中有三个选项,File,Analyse,Help。
File选项中有三个选项,Open(文件打开),Save As(文件保存),Exit(退出)
Analyse中有五个选项。
选项 | 功能 |
---|---|
File Format | 文件格式 |
Data Extract | 数据提取 |
Steregram Solve | 立体试图 可以左右控制偏移 |
Frame Browser | 帧浏览器 |
Image Combiner | 拼图,图片拼接 |
Stegsolve使用教程
https://www.cnblogs.com/cat47/p/11483478.html
3.文件格式缺失&GIF 隐写
这种类型可能是文件破损导致无法正常打开文件,这种时候我们可以用WinHex打开文件通过查看文件的十六进制内容来判断文件是否缺失,再进行补全。
CTF杂项题基础(1.文件识别与分离及图片隐写)相关推荐
- 20220131--CTF刷题MISC方向--三道题--简单的图片隐写/与佛论禅解密/rot13解码---比较有意思的几道题
标题20220131–CTF刷题MISC方向 刷题网站:攻防世界 https://adworld.xctf.org.cn/ MISC方向–新手场–第1题–this_is_flag 题目描述:Most ...
- CTF练题(5)word隐写基础题,jpg图片隐写,敲击码解密
2022.11.2 两道misc题目. 题目一 word隐写基础 题目信息如下: 以及一个无法打开的word文档: 解题步骤: (1)将该word文档拖入010Editor中进行分析,发现 ...
- CTF杂项题做题思路
一.文件隐写 1. file命令 当文件没有后缀或者有后缀无法正常打开,根据识别出的文件类型,来修改后缀即可 格式:file myheat 2. winhex 3. 文件头缺失 一种是文件头残缺,另一 ...
- CTF MISC图片隐写简单题学习思路总结(持续更新)
系列文章目录 第一篇文章: CTF Crypto简单题学习思路总结(持续更新) 文章目录 系列文章目录 前言 一.JPG类隐写 1.1 JPG文件末尾添加字符串 1.2 JPG文件中添加字符串 1.3 ...
- CTF学习之MISC之图片隐写与文档隐写
CTF学习之MISC之图片隐写 隐写术概述 图片隐写技术 图片EXIF信息隐写 图片LSB低位隐写 隐写术(Stega) 隐写术(Steganography,简写Stega) 一门关于信息隐藏的技巧与 ...
- 由一道简单的图片隐写题总结思路
题目来源:BUU [WUSTCTF2020]find_me 已我的经验拿到杂项图片题一般这个思路(以后自己变强了再补充): 右键看属性有无提示. binwalk分析文件是否隐写入其他文件有则forem ...
- CTF—图片隐写+数据隐写
一.[图片隐写] 题目描述: 在实验主机上的C:\Stegano\3目录下提供了一个名为stego的文件, 找到一个形式为flag{word_word_word}的字符串. 预备知识 [TrID] T ...
- CTF 图片隐写之修改图片高宽
CTF WriteUp ...
- CTF题目记录2(图片隐写)
网上找了一个图片隐写的练习,故记录一下 题目1 png图片–LSB隐写 习惯性要先查看属性–没收获 然后stegsolve 我当然是用data extract查看了各个通道的最后两位情况,并保存了几个 ...
最新文章
- Windows 2000/XP 注册表终极修改(转载)
- Windwos下连远程linux Hbase小问题
- 设计模式总结 (2)创建型模式
- HBase学习笔记2 - HBase shell常用命令
- potplayer 皮肤_如何美化背部皮肤?
- 【经验分享】Hydra(爆破神器)使用方法
- 嵌入式linux图形系统设计,轻量级嵌入式Linux图形系统设计与实现
- 用matlab 拟合实数解,求大神指点matlab用拟合的方式解延迟微分方程组参数
- 前端学习(3201):react插件
- CentOS下桥接模式连不上网
- 艾萨克·阿西莫夫作品
- 基于深度学习的SLAM综述:迈向空间机器智能时代
- php excel多级下拉菜单自动生成,Excel下拉菜单怎么做 多级联动+自动匹配教程
- 2020如何成功注册google
- Uncode-Schedule首页、文档和下载 - 分布式任务调度组件 - 开源中国社区
- Markdown学习之(2)-绘制表格和流程图
- linux文件分隔符
- php中跟时间有关的处理(时区设置,计算时间差,获取系统当前时间)
- ImageMagick简介、GraphicsMagick、命令行使用示例
- (原创)LEON3入门教程(三):基于LEON3的SOPC设计以及HELLOWORLD和流水灯
热门文章
- matlab 画小动物,小动物生理监测系统
- 两个小技巧: 如何取到倒数第二个.的位置, 如何 保留小数点后2位
- 进程和应用程序的区别(简单理解)
- MySQL创建函数报“ERROR 1418 ”错误,不能创建函数
- html电脑显示手机隐藏,右侧悬浮菜单悬浮窗 css+html css自动判断PC显示手机端隐藏...
- TensorFlow - 保存和恢复
- html网页渲染过程
- 杰理之ANC治具参数设置【篇】
- php json 转数组
- c语言中13至20怎么表示,12313交管