admin管理员组文章数量:1637861
【免责声明】
本博客中介绍的网络安全测试工具仅供学习和研究使用。使用这些工具时,请务必遵守当地的法律法规。任何人不得将本博客中提到的工具用于非法目的,如未经授权的渗透测试、数据窃取或破坏他人网络。读者在使用这些工具时应承担全部责任,与本博客作者无关。作者不对任何由于滥用工具或违反法律所导致的后果负责。
ctf_wiki_Misc
0. 引言
原文网站: 杂项简介 - CTF Wiki
本文是对 CTF Wiki Misc 内容的总结
用于新手快速入门、信息快速查找
Misc 学习路线图:
1. 信息搜索技术
2.编码分析
2.1通信类
- 电话拨号编码、莫斯编码、敲击码、曼彻斯编码、格雷编码
- 在线工具编译
2.2计算机编码
ASCII编码:
- 注意二进制和十六进制转换
Base64编码:
- 在编码后的 base64 文本后加上一个或两个 = 号,代表补足的字节数。
霍夫曼编码
URL编码
Unicode 编码
HTML编码
对于这些编码,统统利用在线工具进行编译
2.3生活日常编码
- 条形码、二维码
- 利用在线工具或app扫描查看信息
3.取证隐写
3.0 技术准备
file:
file [filename] // 查看文件类型等详细信息
strings:
strings [filename]|grep -i XXXX //查找文件内可打印字符
binwalk :
binwalk [filename] //查看文件
binwalk [filename] -e //自动分离合并文件
dd: ~
3.1 图片
(1)图片分析
- 元数据(pwd等隐藏信息):(1)右键属性(2)String命令
- 像素值转化:255,255,255,255,255...........利用脚本转换为图片
(2)PNG
- 文件头 89 50 4E 47 0D 0A 1A 0A + 数据块 + 数据块 + 数据块……
PNG - CTF Wiki,数据块
IHDR:
Kali 中是打不开这张图片的,提示 IHDR CRC error,而 Windows 10 自带的图片查看器能够打开, IHDR 块被人为的篡改过了,从而尝试修改图片的高度或者宽度发现隐藏的字符串。
文件宽度不能任意修改,需要根据 IHDR 块的 CRC 值爆破得到宽度,(脚本)
- LSB最低有效位。
LSB 隐写就是修改 RGB 颜色分量的最低二进制位(LSB),每个颜色会有 8 bit,LSB 隐写就是修改了像数中的最低的 1 bit,而人类的眼睛不会注意到这前后的变化,每个像素可以携带 3 比特的信息。
神器:Stegsolve
(3)JPG
- 工具:stegdetect
(4)GIF
- 工具:F5-steganography
3.2 音频
(1)MP3
- 工具:Mp3Stego
(2)波形
- 相关软件(Audacity, Adobe Audition 等)观察
- 转换为01字符
(3)频谱
- 特征:中间无征兆的杂音
(4)LSB音频
- Silenteye 工具
3.3流量包分析
(1)简介
- 包含流量数据的 PCAP 文件
- 三个方向: 流量包修复 、协议分析 、数据提取
(2)流量包修复
- 在线修复工具:PcapFix Online
- 常见块:
- Section Header BlocK(文件头)
- Interface Description Block(接口描述)
- Packet Block(数据块)
(3)协议分析
- 熟练wireshark
- 熟悉HTTP、HTTPS、FTP、DNS、WIFI、USB协议
- FTP:TCP 端口中的 20 和 21 这两个端口,其中 20 用于传输数据, 21 用于传输控制信息
- WIFI:
工具:windows : wifipr ;linux : aircrack 套件
- USB
l USB UART //简单的将 USB 用于接受和发射数据
l USB HID //键盘,鼠标,游戏手柄和数字显示设备
l USB Memory //数据存储
鼠标:
每一个数据包的数据区有四个字节,第一个字节代表按键,当取 0x00 时,代表没有按键、为 0x01 时,代表按左键,为 0x02 时,代表当前按键为右键。第二个字节可以看成是一个 signed byte 类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。第三个字节与第二字节类似,代表垂直上下移动的偏移。
轨迹恢复工具:GitHub - WangYihang/USB-Mouse-Pcap-Visualizer: USB mouse traffic packet forensic tool, mainly used to draw mouse movements and dragging trajectories
键盘:
键盘数据包的数据长度为 8 个字节,击键信息集中在第 3 个字节
键盘敲击数据工具:GitHub - WangYihang/UsbKeyboardDataHacker: USB键盘流量包取证工具 , 用于恢复用户的击键信息
(4)数据提取
- wireshark
- wireshark 自动分析 :file -> export objects -> http
- 手动数据提取 :file->export selected Packet Bytes
- tshark
- wireshark 的命令行版
- tshark -r **.pcap –Y ** -T fields –e ** | **** > data
3.4 压缩包分析
(1)ZIP
- 文件结构:
- local file header :标识该文件的开始, ZIP 的文件头的重要标志:50 4B 03 04
- file data :相应压缩文件的数据
- data descriptor :标识该文件压缩结束,在local file header 中通用标记字段的第 3 bit 设为 1 时才会出现,紧接在压缩文件源数据后
- Central directory 记录目录信息
- End of central directory record 存在于整个归档包的结尾,只有一个 EOCD 记录
- 主要攻击:
爆破:
工具ARCHPR,暴力枚举,跑字典,明文攻击等
CRC32:
产生一个 32 bit ( 8 位十六进制数) 的校验值。只有一位发生了变化,也会得到不同的 CRC32 值。
zip 中的 CRC32 是未加密文件的校验值。
不去爆破压缩包的密码,而是直接去爆破源文件的内容 (一般都是可见的字符串)。
在爆破时,所枚举的所有可能字符串的 CRC32 值。是要与压缩源文件数据区中的 CRC32 值所对应。
明文攻击:
加密的压缩文件,使用工具,查看文件属性:2345 好压, WinRAR , 7z ;
Linux 平台,用 zipinfo -v 可以查看一个 zip 包的详细信息;
尽量知道压缩包里某个文件的部分连续内容 (至少 12 字节);
例:
一个ZIP压缩包包含:Desktop.zip 和 readme.txt 两个文件;
Desktop.zip又包含 readme.txt 文件和 answer文件;
同时含有两个 readme.txt 文件,且CRC32 的值相同,即解压出的 readme.txt 是加密压缩包里的 readme.txt 的明文;
猜测这极可能是个明文加密,将第一个 readme.txt 压缩成 .zip 文件,用于对加密压缩包里的 readme.txt解密;
在ARCHPR中填入相应的路径即可开始进行明文攻击;
!!!7z压缩和WinRAR不一样,要确认二者采用的压缩算法相同;
一个简单的判断方法是用 WinRAR 打开文件,同一个文件压缩后的体积是否相同。
伪加密:
ZIP 格式中的 核心目录区中,做通用位标记 (General purpose bit flag) 的 2 字节,不同比特位有着不同的含义;
修改伪加密方法:
16 进制下修改通用位标记
binwalk -e 无视伪加密
检测伪加密的小工具 ZipCenOp.jar
(2)RAR 格式
- Rar 压缩包的文件头为 0x 52 61 72 21 1A 07 00
- 文件主要由标记块,压缩文件头块,文件头块,结尾块组成,字段参照:RAR 格式 - CTF Wiki
- 爆破:Linux 下的 RarCrack
- 伪加密:RAR 文件的伪加密在文件头中的位标记字段上,用 010 Editor 修改这一位可以造成伪加密。
3.5 磁盘内存分析
常用工具: EasyRecovery 、MedAnalyze 、FTK 、Elcomsoft Forensic Disk Decryptor 、Volatility
题目较少,参照:磁盘内存分析 - CTF Wiki
3.6 pyc 文件
pyc 文件,是 pythoncodeobj 的持久化储存形式, 加速下一次的装载。
利用在线反编译网站,进行反编译
【本文章结束,文章:Misc_理论_(2),对“蓝莲花”教程进行总结,可进入本人专栏进行查看】
本文标签: 理论
版权声明:本文标题:一、Misc_理论_(1) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dongtai/1729260284a1192840.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论