CTF杂项题解题思路与方法
Posted 山河_w
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CTF杂项题解题思路与方法相关的知识,希望对你有一定的参考价值。
杂项题:
一、文件操作与隐写
(一)文件类型识别
1、File命令
格式:File 文件名
2、winhex
通过文件头信息判断文件类型
3、文件头残缺/错误
文件头部残缺或文件头错误无法正常打开文件
(二)文件分离操作
1、Binwaik命令
分析文件:binwalk 文件名
分离文件:binwalk -e 文件名
2、foremost命令
如果Binwalk无法正确分离可以使用foremost
用法:foremost 文件名 -o 输出目录名
3、dd命令
当文件自动分离出错或无法分离时,可以使用dd实现手动分离
格式:dd if = 源文件 of = 目标文件 bs=1 skip=开始分离的字节数
参数:if = file 输入文件名
of = file 输出文件名·
bs = bytes 设置2 读写块的大小为bytes
skip = blocks 从输入文件开头跳过blocks个块后开始复制
4、winhex
找到要分离的部分点击复制
5、010Editor
打开文件>选中右键>Selection>Save Selection
将16进制字符文件保存在一个文件
(三)文件合并操作
1、Linux下的文件合并
cat 合并的文件 > 输出的文件
Linux下计算md5命令:md5 sum 文件名
2、Windows下的文件合并
copy /B 文件名+文件名 >输出文件名
Windows下计算md5命令:certutil -hashfile 文件名 md5
使用md5值对图片进行校验
(四)文件内容隐写
将KEY以十六进制形式写在文件中,通常在文件头部或者尾部,如果在文件中间可以通过搜索KEY或者flag查找隐藏内容。
使用Noteoad++等编辑器查看进行搜索,可能还会出现在文件十六进制中使用软件查找进行查找
二、图片隐写
(一)常见的隐写方法:
1、细微的颜色差别
2、GIF图多帧隐藏
颜色通道隐藏
不同帧图信息隐藏
不同帧对比隐写
3、Exif信息隐藏(查看图片的隐藏信息, gps定位、拍摄时间、图片大小、路径等)
windows右击查看图片属性
linux命令exiftool exif.jpg
4、图片修复
图片头修复
图片尾修复
CRC校验修复
长,宽,高度修复
5、最低有效位LSB隐写 (基于图片最低有效位修改储存信息的隐写方法)
6、图片加密
Stegdetect
outguess
Jphide
F5
(二)图片文件隐写
1、Stegsolve(Analyse->image combiner)
当两张jpg图片外观、大小、像素都基本相同时,可以考虑进行结合分析即将两个文件的像素RGB值进行XOR、ADD、SUB等操作,
看能否得到有用的信息,看能否得到有用的消息,Stegsolve可以方便的进行这些操作
2、LSB(最低有效位LSB隐写)
LSB替换隐写基本思想是用嵌入的秘密信息取代载体图像的最低比特位,原来的7个高位平面与替代秘密信息的最低位平面组合成含隐藏信息的新图形
1、像素三原色(红、绿、蓝)
2、通过修改像素中最低位的1bit来达到隐藏效果
3、工具:setgsolve(Analyse->Data Extract)、
zsteg(linux命令)、
wbstego4(.bmp(windows图片工具可以将jpg格式改为bmp)/pdf)、
python脚本
3、TweakPNG
PNG图像浏览工具,它允许查看和修改一些PNG图像文件的元信息储存
使用场景:文件头正常却无法打开文件,利用TweakPNG修改CRC
有时CRC没有错误,但是图片的高度或者宽度发生了错误,需要通过CRC计算出正确的高度或者宽度
4、Bftools(windows命令)
解密图片信息
使用场景:在Windows的cmd下,对加密的图片文件进行解密
格式:Bftool.exe decode braincopter 要解密的图片名称-output 输出文件名
Bftool.exe run 上一步输出的文件
5、SilentEye(使用程序打开目标图片,点击image->decode 点击decode,可以查看隐藏文件,点击保存即可)
是一款可以将文字或者文件隐藏到图片的解密工具
使用场景:Windows下打开SilentEye工具,对图片进行解密
6、JPG图像加密
(1)Stegdetect工具探测加密方式(linux命令)
Stegdetect程序主要用于分析JPEG文件,因此用Stegdetect可以检测到通过JSteg、Jphide、OutGUess、Invisible Secrets、
F5、appendX和Camouflage等隐写工具隐藏的信息
格式:stegdetect xxx.jpg
Stegdetect - s 敏感度 xxx.jpg
(2)Jphide
Jphide是基于最低有效位LSB的JPEG格式图像隐写算法
使用场景:Stegdetec提示Jphide加密时,可以用Jphs工具进行解密,打开jphswin.exe,使用open jpeg打开图片,点击seek,输入密码和确认密码,
在弹出文件框中选择要保存的解密我呢见位置即可,结果保存成txt文件
(3)OutGUess(linux命令)
一般用于解密文件信息
使用场景:Stegdetect识别出来或者题目提示是outguess加密的图片
(4)F5
7、二维码处理
(1)使用二维码扫描工具CQR.exe打开图片,找到内容字段
(2)如果二维码某给个人定位角被覆盖了,该工具有时候也可以自动识别,如果识别失败,需要使用PS或画图工具将另外几个角的定位符移动到相应位置,补全二维码
反色二维码可以通过画图工具取反色
彩色二维码先取反再使用Stegsolve工具查看颜色
三、压缩文件分析
(一)伪加密
1、如果压缩文件是加密的,或文件头正常但解压错误,首先尝试是否为伪加密
zip文件是否加密是通过标识符来显示,在每个文件的文件目录字段有一位专门标识文件是否为加密
00表示该文件未加密,如果成功压缩则表示文件为伪加密,如果解压错误说明文件为真加密
使用winhex打开压缩文件搜索504B0102,找到文件头第九个第十个字符,将其修改为0000
压缩源文件数据区:
50 4B 03 04:这是头文件标记(0x04034b50)
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密) 头文件标记后2bytes
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
00 00:扩展记录长度
50 4B 01 02:目录中文件文件头标记(0x02014b50)
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密,伪加密的关键) 目录文件标记后4bytes
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
24 00:扩展字段长度
00 00:文件注释长度
00 00:磁盘开始号
00 00:内部文件属性
20 00 00 00:外部文件属性
00 00 00 00:局部头部偏移量
50 4B 05 06:目录结束标记
00 00:当前磁盘编号
00 00:目录区开始磁盘编号
01 00:本磁盘上纪录总数
01 00:目录区中纪录总数
59 00 00 00:目录区尺寸大小
3E 00 00 00:目录区对第一张磁盘的偏移量
00 00:ZIP 文件注释长度
2、RAR文件由于头部有校验,伪加密时打开会出现报错
RAR文件格式
使用winhex修改标志位后报错消失且正常1解压,说明是伪加密
使用winhex打开RAR文件,找到第二十四个字节,该字节尾数位4表示加密,0表示无加密,将尾数改为0即可破解伪加密
(二)暴力破解
工具:ARPR、AZPR、Ziperello
当知道文件密码前三位是abc时,选择掩码,填入abc???
(三)明文攻击
明文攻击指知道加密的zip中部分文件的明文内容,利用这些内容推测出密钥并解密zip文件的攻击方法,相比于暴力破解,
这种方法在破解密码较为复杂的压缩包时效率更高
使用场景:已知加密的zip部分文件明文内容
操作:(1)将明文文件压缩,变成zip文件(压缩算法要一致)
(2)打开工具选择明文攻击,选择明文文件路径,
(3)选择要破解的文件点击开始
如果密码未找到,会出现加密密钥可能就是flag
CTF杂项题解题思路
- 下载压缩包解压
- 如果是图片就先查看图片信息
- 没有有用信息查看图片看是否是一个图片
- 如果不是图片就将文件进行还原
- 从还原文件中查找有用信息
例:这是一张单纯的图片
http://123.206.87.240:8002/misc/1.jpg
(1)查看图片属性后没有任何有效信息
(2)用图片查看器也能打开,证明确实是图片
(3)我们用WinHex或者Notepad++打开可以看到最后有一串规律的Unicode码
key{you are right}
(4)把得到的码用CTFCrak进行转码为Ascii就可以得到了
注:与Unicode有关的字符转换模式
Ascii ----> Unicode 中文 ----> Unicode
flag flag 旗帜 \\u65d7\\u5e1c
例2:最危险的地方就是安全的
15584352907afc4ab69ef3c7ca3e905903f171a46d
(1)下载后我们解压得到一个jpg格式的图片,查看图片信息
(2)用图片查看器打开,可以看到打不开,我们就猜测这不是一个jpg格式的图片
(3)用Winhex打开,证实了我们的猜想
(4)此时我们就需要用foremost对文件进行恢复,可以看到恢复后的文件全是二维码图片
(5)将恢复后的文件的列表并显示详细信息,我们局可以发现这个文件格式大小都不一样
(6)查看其详细信息,可以发现有个备注了一段Base64加密的密文
ZmxhZ3sxNWNDOTAxMn0=
(6)通过解密就可以得到flag
注:
1.winhex打开后的各类常见文件文件头,如果文件头和文件后缀名格式不同,则可以用foremost进行分离或恢复文件
| 文件名 | 文件头 |
| jpg | FFD8FF |
| png | 89504E47 |
| gif | 47494638 |
| xml | 3C3F786D6C |
| html | 68746D6C3E |
| eml | 44656C69766572792D646174653A |
| xls.or.doc | D0CF11E0 |
| tif | 49492A00 |
| bmp | 424D |
| zip | 504B0304 |
| rar | 52617221 |
| 255044462D312E |
2.foremost的使用,foremost是kali中自带的,只需要在终端输入foremost 文件名 就可以自行处理,处理后的文件会自动保存到root/output/文件夹下
以上是关于CTF杂项题解题思路与方法的主要内容,如果未能解决你的问题,请参考以下文章
CTF---安全杂项入门第三题 这是捕获的黑客攻击数据包,Administrator用户的密码在此次攻击中泄露了,你能找到吗?