1.流量分析
主要工具是wireshark，需要熟练掌握使用方法，过滤器语法、追踪流、导出文件
wireshark：
Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码。

顶栏选项功能：

“File"（文件）打开或保存捕获的信息 。“Edit” （编辑）查找或标记封包。进行全局设置。
“View”（查看）设置Wireshark的视图。 “Go” （转到）跳转到捕获的数据。
“Capture”（捕获）设置捕捉过滤器并开始捕捉。“Analyze”（分析）设置分析选项。
“Statistics” （统计）查看Wireshark的统计信息。“Help” （帮助）查看本地或者在线支持。
3、过滤器
使用Wireshark时最常见的问题，是当使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。在Capture（捕获） -> Capture Filters （捕获过滤器）中设置。
显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
4、过滤表达式的规则
(1)协议过滤
http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。
比如TCP，只显示TCP协议；
(2)IP过滤
比如：
ip.src 192.168.1.102,显示源地址为192.168.1.102；
ip.dst192.168.1.102, 显示目标地址为192.168.1.102；
ip.addr == 192.168.1.102,包括源地址和目标地址。
（3）端口过滤
tcp.port == 80,显示端口为80的；
tcp.srcport == 80,只显示TCP协议的来源端口为80的；
tcp.dstport == 80,只显示TCP协议的目的端口为80的；
tcp.port >= 1 and tcp.port <= 80，显示TCP协议1-80之间的端口。
(4)过滤包长度
整个UDP数据包：udp.length==20；
TCP数据包中的IP数据包：tcp.len>=20
4、逻辑运算符为and/or
常用的过滤表达式
2.文件格式分析

常见文件头和文件尾的16进制编码：
JPEG (jpg) 文件头：FFD8FF　 文件尾：FF D9　　　　　　　　　　　　　　　　　　　　　　　　　　
PNG (png) 文件头：89504E47 文件尾：AE 42 60 82　　　　　　　　　　　　　　　　　　　　
GIF (gif) 文件头：47494638　 文件尾：00 3B　　　　　　　　　　　　　　　　 ZIP Archive (zip) 文件头：504B0304　　 文件尾：50 4B　　　　　　　　　　　　　　　　　　　　
TIFF (tif)， 文件头：49492A00　
RAR Archive (rar)， 文件头：52617221　
Windows Bitmap (bmp)， 　 文件头：424D　　　　　　　　　　　　　　　　　　　　　　　　
Adobe Photoshop (psd)， 文件头：38425053　　　　　　　　　　　　　　　　　　　　　　
Rich Text Format (rtf)， 文件头：7B5C727466　　　　　　　　　　　　　　　　　　　　
XML (xml)， 文件头：3C3F786D6C　　　　　　　　　　　　　　　　　　　　
HTML (html)， 文件头：68746D6C3E
Outlook Express (dbx)， 文件头：CFAD12FEC5FD746F
Outlook (pst)， 文件头：2142444E
MS Word/Excel (xls.or.doc)， 文件头：D0CF11E0
MS Access (mdb)， 文件头：5374616E64617264204A
WordPerfect (wpd)， 文件头：FF575043
Adobe Acrobat (pdf)， 文件头：255044462D312E
Quicken (qdf)， 文件头：AC9EBD8F

1. file命令
   file命令实际上是一个命令行工具，用来查看文件类型。
   使用方法：
   将文件复制到kail或者带有file工具的系统中，使用file查看文件。
   例如：
   将文件后缀名补上即可正常打开文件，然后根据实际情况判断这是什么类型的题目。
   文件格式分析
   2、十六进制编译器–HxD、WinHex、010Editor
   HxD是一个认真设计的快捷16进制编辑器。还提供直接磁盘编辑、内存修改和处理任何大小的文件。易用的用户界面，提供查找、替换、导出、校验和、字节数据插入、文件粉碎、分割和合并文件、统计数据分布等功能。
   文件分离：
   介绍了文件类型的识别方法了，接下来来讲一下文件分离
   文件分离的原因：
   在CTF这个充满脑洞的比赛中，出题人往往会以一些稀奇古怪的出题方式出题，因此你可以常常看见暴打出题人等字眼出现在比赛论坛中。在CTF中一个文件中隐藏着另外其他文件的题目是经常有的。这就需要掌握文件分离的技巧来应对。下面介绍几种姿势
2. Binwalk
   (1)Binwalk工具介绍
   Binwalk是一个自动提取文件系统，该工具最大的优点就是可以自动完成指定文件的扫描，智能发掘潜藏在文件中所有可疑的文件类型及文件系统。相比于之前介绍的file命令行工具来说，file只是从文件的第一个字节开始识别，且只能把一个文件识别成一个类型的文件，很难看出是否隐藏着其他的文件，Binwalk就能很好的完成这项任务。
   (2)Binwalk文件扫描和提取
   Binwalk分析文件
   命令：binwalk +file 通过扫描能够发现目标文件中包含的所有可识别的文件类型
   通过binwalk我们可以看到这个png文件中还包含着一个zip文件
   Binwalk提取文件
   命令 binwalk +file -e；
   “-e”和“–extract”用于按照定义的配置文件中的提取方法从固件中提取探测到的文件系统。
   若提取成功则会生成一个_文件名_extracted的目录，目录中存放的就是提取出的文件
   2、dd命令
   前面介绍的是自动化分离工具，dd这个工具是一种半自动化工具，有的时候自动化工具不能实现文件的分离，所以需要用这个工具来进行分离。
   使用dd命令分离文件格式如下：
   dd if=源文件名 of=输出文件名 skip=开始分离的字节数 bs=1；
   参数说明：
   if=file #输入文件名，缺省为标准输入。
   of=file #输出文件名，缺省为标准输出。
   bs=bytes #同时设置读写块的大小为 bytes ，可代替 ibs 和 obs 。
   skip=blocks #从输入文件开头跳过 blocks 个块后再开始复制。

3.隐写图片，音频
隐写和加密之间的相同点就是，都是需要经过特殊的处理才能获得特定的信息。
信息明明就在眼前，但是你却视而不见

工具：Stegsolve.jar
Audacity
MP3Stego_GUI
图片隐写：
图像隐写术进行数据隐写分为以下几类：

1.在图片右击-属性-详细信息中隐藏数据信息；

2.将数据类型进行改写（rar类型数据 将其改写成jpg格式）；

3.根据各种类型图像的固定格式，隐藏数据修改图像开始标志，改变其原有图像格式，在图像结束标志后加入数据，在图像数据中假如数据，不影响视觉效果情况下修改像素数据，加入信息；

4.利用隐写算法将数据隐写到图像中而不影响图像（仅限于jpg图像），隐写算法常见有F5、Guess、JSteg和JPHide等。

音频隐写：
1、众所周知的摩斯电码，有些加密后的音频文件在用Audacity打开后，会出现以下具有摩斯电码形式的图案：
可以对照表或者寻找在线解密工具，最后摩斯电码翻译如下:

HBC925649CB0188Q52E617D70929191C
再进行md5解密即可。
音频隐写
利用MP3stego进行的数据隐写
使用方法：打开cmd，然后将Decode.exe拖到命令行里，在此之前需要把需要分析的mp3文件拖到Decode.exe所在目录里。
用MP3Stego进行加密解密：
加密：encode -E 加密文本 -P 密码 wav文件 mp3文件
解密：decode -X -P 密码 mp3文件
选项 -X是获取隐藏的东西 -P后面写密码
4.压缩包分析：
zip压缩包常见漏洞
1、密码暴力破解/字典/掩码攻击
2、伪加密
3、明文攻击

1.爆破工具：ARCHPR
密码暴力破解/字典/掩码攻击
掩码攻击：如果已知密码的某几位，如已知6位密码的第3位是a，那么可以构造 ??a??? 进行掩码攻击，掩码攻击的原理相当于构造了第3位为a的字典，因此掩码攻击的效率也比爆破高出不少。

ZIP伪加密
zip伪加密与zip的文件格式有关，zip中有一位是标记文件是否加密的，如果更改一
个未加密zip包的加密标记位，那么在打开压缩包时就会提示该文件是加密的。
zip伪加密与zip的文件格式有关，zip中有一位是标记文件是否加密的，如果更改一
个未加密zip包的加密标记位，那么在打开压缩包时就会提示该文件是加密的。
java -jar ZipCenOp.jar -r xxx.zip

3. 使用16进制编辑器改回加密标记位
zip格式中的核心目录区中，我们强调了一个叫做通用位标记（General purpose bit flag）的 2 字节，不同比特位有着不同的含义。通常00 00代表没有密码，01 00为加密
压缩源文件数据区：50 4B 03 04：这是头文件标记
压缩源文件目录区：
50 4B 01 02：目录中文件文件头标记
3F 00：压缩使用的 pkware 版本
14 00：解压文件所需 pkware 版本
00 00：全局方式位标记（有无加密，这个更改这里进行伪加密，改为09 00打开就会提示有密码了）
压缩源文件目录结束标志 ：50 4B 05 06：目录结束标记

明文攻击
明文攻击是一种较为高效的攻击手段，大致原理是当你不知道一个zip的密码，但是你有zip中的一个已知文件（文件大小要大于12Byte）时，因为同一个zip压缩包里的所有文件都是使用同一个加密密钥来加密的，所以可以用已知文件来找加密密钥，利用密钥来解锁其他加密文件
4.古典密码
凯撒密码：明文中的所有字母都在字母表上向后（或向前）按照一个固定数目进行偏移后被替换成密文。
栅栏密码
TEOGSDYUTAENNHLNETAMSHVAED
解密过程：先将密文分为两行
T E O G S D Y U T A E N N
H L N E T A M S H V A E D
再按上下上下的顺序组合成一句话
THE LONGEST DAY MUST HAVE AN END.
一般来说见到一堆字母没有空格，就应该想一想是不是栅栏。
比较常见的是2栏的棚栏密码

希尔密码
希尔密码（Hill Cipher）是运用基本矩阵论原理的替换密码，由Lester S. Hill在1929年发明。每个字母当作26进制数字：A=0, B=1, C=2… 一串字母当成n维向量，跟一个n×n的矩阵相乘，再将得出的结mod26。
假设讯息ACT，因为A=0，C=2，T=19，讯息为：
设密匙为
确认它是可逆的：

加密过程：
对应的密文便是“POH”。
假设对方知道密文和密匙，首先找出密匙的逆矩阵：
将逆矩阵与密文相乘：
便得到“ACT”。
键盘密码
加密的原理同棋盘密码，只是利用了键盘作为方阵。
键盘的字母分布：
密文：72 81 12 63 01 12 63
明文：jianpan

CTF杂项小结--沙窝李的王相关推荐

1. CMS漏洞复现小结--沙窝李的王

   今天学习了CMS漏洞复现,先搭建好环境了 搭建环境: dedeCMS (CNVD-2018-01221): DeDeCMS官网:http://www.dedecms.com 网站源代码版本:DeDeC ...

2. Python基础1_沙窝李的王

   python 语音的出发点就是便于学习,是最容易阅读,编写,理解的计算机语言.Python的人机交互窗口----idle,是一个Python shell:简单输出 I love you forever ...

3. BugKu CTF(杂项篇MISC)—放松一下吧

   CTF BugKu CTF (杂项篇MISC) 攻与防 放松一下吧 描 述: bugku{} 下载后是一个压缩包. 一.工具 十六进制编辑工具 010 editor 图片加解密工具F5-stegano ...

4. BugKu CTF(杂项篇MISC)—想要种子吗

   CTF BugKu CTF (杂项篇MISC) 攻与防 想要种子吗 提 示: 描 述:flag{} 题目下载后是一张图片,打开如下. 一.工具 十六进制编辑器010 editor kali系统文件分离 ...

5. ctf 杂项 猜 writeup

   ctf 杂项 猜 writeup 说实话这是我第一次用markdown写博客,可能写的不太好,请见谅 废话不多说,请看这道题 emmmm 只需要看出这是谁就可以得到flag了,但这张图片并没有头,我猜 ...

6. BugKu CTF(杂项篇MISC)---细心的大象

   BugKu CTF(杂项篇MISC)-细心的大象 下载得到图片 foremost 分离得到压缩包 foremost 1.jpg 查看图片详细信息 TVNEUzQ1NkFTRDEyM3p6 base64 ...

7. Bugku CTF 杂项（21-29） Writeup

   Bugku CTF 杂项(21-29) Writeup 0x21图穷匕见 下载得到一个图片,用winhex打开发现jpg文件尾FF D8后面有大量16进制数据,复制后面的数据,用notepad++中插 ...

8. Bugku CTF 杂项（13-20） Writeup

   Bugku CTF 杂项(13-20) Writeup 0x13这么多数据包 用wireshark打开,浏览一下从第104个包开始有TCP协议,那么就是从第104个包开始就是攻击机(192.168.1 ...

9. BugKu CTF(杂项篇MISC)---妹子的陌陌

   BugKu CTF(杂项篇MISC)-妹子的陌陌 下载得到图片 binwalk分离rar压缩包 binwalk -e file.jpg 这个压缩包有密码.找了一圈没有发现密码,试了一下也不是伪加密. ...

10. CTF杂项题基础（1.文件识别与分离及图片隐写）

    CTF杂项(misc)解题技巧 杂项类型 1.隐写 2.压缩包处理 3.流量分析 4.攻击取证 5.其他 文件类型识别 在做misc题的时候有很多以文件附件的题目出现,但是有时候给我们的文件并不一定是 ...

最新文章

1. 超级队长VR线下体验店落地上海，让娱乐突破想象
2. BC#65 T5 ZYB's Prime
3. LeetCode 143. 重排链表（Reorder List）
4. html中表格的页眉页脚,有一个标准的页眉页脚布局HTML网页，而无需使用table标签...
5. android+自定义版本号,Android打包版本号设置方法
6. 每天固定往一个银行卡存入100元，5年之后会有多大变化？有人能坚持吗？
7. DQN 中的梯度 clip
8. 服务器传文件的工具,向服务器传文件的工具
9. Gartner：2015年启动的企业级区块链项目90%会失败，它们犯了这十大常见错误
10. Xweibo2.0nbsp;游客可以访问任何页面【…
11. kendoui实现单选多选汉字/拼音/简拼筛选过滤
12. python文件是乱码怎么办_python写入文件乱码怎么办
13. 2007年沪市上涨前20与后20
14. 到极地拍摄北极熊 你需要这样的装备
15. java报错establishing_[Microsoft][SQLServer 2000 Driver for JDBC]Error establishing socket错误解决方法总结...
16. oracle权限with admin option和with grant option的用法
17. Linux的使用及软件安装
18. 【题解】天梯赛练习集 L1-059 敲笨钟
19. Android 微信h5支付
20. Vue之路由--SPA模式

热门文章

1. 无法使用内置管理员账户打开应用
2. sodility文档--modifier函数修改器
3. 京东方、立讯精密纷纷向苹果靠拢，再次撕下国产手机遮羞布
4. 在VMware Server上安装Windows Home Server“ Vail”
5. 3 Linux虚拟机创建修改删除文件和文件夹
6. 家庭影院投影仪哪款值得买？2022年双11家庭影院4K投影仪首选当贝X3 Pro
7. 外显子分析思路总结（Exome Sequencing Analysis review）
8. U盘灯狂闪，读不到盘
9. 红米9A android版本,红米9a和红米9哪一款手机好?有什么区别存在?
10. Deep Inductive Logic Reasoning深度感应逻辑推理模型 论文笔记