CTF學習-MISC雜項解題思路

持續更新

文件操作與隱寫

文件類型識別

1.File命令

當文件沒有后綴名或者有后綴名而無法正常打開時，根據識別出的文件類型來修改后綴名即可正常打開文件。
使用場景:不知道后綴名，無法打開文件。格式: file myheart

2.winhex

通過winhex.程序中可以查看文件頭類型，根據文件頭類型判斷出文件類型
使用場景: windows 下通過文件頭信息判斷文件類型

3.文件頭殘缺/錯誤

通常文件無法正常打開有兩種情況，一種是文件頭部殘缺， 另一種是文件頭部字段錯誤。針對文件頭部殘缺的情況，使用winhex或者010 Editor程序添加相應的文件頭，針對頭部字段錯誤，可以找一個相同類型的文件進行替換。
使用場景:文件頭部殘缺或文件頭部字段錯誤無法打開正常文件。
格式: file 文件名

文件分離操作

1.Binwalk工具

Binwalk是Linux下用來分析和分離文件的工具，可以快速分辨文件是否由多個文件合並而成，並將文件進行分離。如果分離成功會在目標文件的目錄。
同目錄下生成一個形如_ 文件名_ extracted的文件目錄，目錄中有分離后的文件。
用法:
分析文件: binwalk filename
分離文件: binwalk -e filename

2.foremost

如果binwalk無法正確分離出文件，可以使用foremost，將目標文件復制到kali中，成功執行后，會在目標文件的文件目錄下生成我們設置的目錄，目錄中會按文件類型分離出文件。
用法:
foremost 文件名 -o 輸出目錄名

3.dd

當文件自動分離出錯或者因為其他原因無法自動分離時，可以使用dd實現文件手動分離。

格式:
dd if=源文件 of=目標文件名名bs=1 skip=開始分離的字節數
參數說明:
if=file #輸入文件名，缺省為標准輸入。
of=file #輸出文件名，缺省為標准輸出。
bs=bytes #同時設置讀寫塊的大小為bytes，可代替ibs和obs。
skip=blocks #從輸入文件開頭跳過blocks個塊后再開始復制。

4.Winhex

除了使用dd外，還可以使用winhex實現文件手動分離，將目標文件拖入winhex中，找到要分離的部分，點擊復制即可。
使用場景: windows 下利用winhex程序對文件進行手動分離
例:新建一個文件，文件大小1byte， 在文件開頭位置點擊粘貼，彈出提示框選否、確定，將文件保存為想要的后綴即可。

5.010Editor

將某塊區域文件保存的方式如下:

記事本里存放的二進制文件轉成二進制文件

文件合並操作

1.Linux下的文件合並

使用場景: linux 下，通常對文件名相似的文件要進行批量合並
格式: cat 合並的文件>輸出的文件

完整性檢測: linux下計算文件md5:
md5sum 文件名

2.Windows下的文件合並

使用場景:windows下，通常要對文件名相似的文件進行批量合並
格式: copy/B合並的文件輸出的文件命令

完整性檢測: windows 下計算文件md5:
certutil -hashfile 文件名 md5

文件內容隱寫

文件內容隱寫，就是直接將KEY以十六進制的形式寫在文件中，通常在文件的開頭或結尾部分，分析時通常重點觀察文件開頭和結尾部分。如果在文件中間部分，通常搜索關鍵字KEY或者flag來查找隱藏內容。
使用場景: windows下， 搜索隱寫的文件內容

1.Winhex/010Editor

通常將要識別的文件拖入winhex中，查找具有關鍵字或明顯與文件內容不和諧的部分，通常優先觀察文件首部和尾部，搜索flag或key等關鍵字，最后拖動滾輪尋找。

2.Notepad++

使用notepad++打開文件，查看文件頭尾是否有含有關鍵字的字符串，搜索flag或key等關鍵字，最后拖動滾輪尋找。
另外通過安裝插件HEX-Editor可以實現winhex的功能。

圖片隱寫術

圖片隱寫的常見隱寫方法
1.細微的顏色差別
2.GIF圖多幀隱藏
1.顏色通道隱藏
2.不同幀圖信息隱藏
3.不同幀對比隱寫
3.Exif信息隱藏
4.圖片修復
1.圖片頭修
2.圖片尾修復
3.CRC校驗修復
4.長、寬、高度修復
5.最低有效位LSB隱寫
6.圖片加密
1.Stegdetect
2.outguess
3.Jphide
4.F5

圖片文件隱寫

1.Firework

使用winhex打開文件時會看到文件頭部中包含firework的標識，通過firework可以找到隱藏圖片。
使用場景:查看隱寫的圖片文件

2.Exif

Exijf按照PEG的規格在PEG中插入一些圖像/數字相機的信息數據以及縮略圖像可以通過與PEG兼容的互聯網瀏覽器/圖片瀏覽器/圖像處理等一些軟件來查看Exift格式的圖像文件就跟瀏覽通常的PEG圖像文件一樣，圖片右鍵屬性，查看exif或 查看詳細信息，在相關選項卡中查找flag信息。

3.Stegsolve

當兩張jpg圖片外觀、大小、像素都基本相同時，可以考慮進行結合分析，即將兩個文件的像素RGB值進行XOR、ADD、SUB等操作，看能否得到有用的信息，StegSolve可以方便的進行這些操作。
使用場景:兩張圖片信息基本相同

4.LSB(最低有效位Least Significant Bit)

LSB替換隱寫基本思想是用嵌入的秘密信息取代載體圖像的最低比特位，原來的的7個高位平面與替代秘密信息的最低位平面組合成含隱藏信息的新圖形。
1.像素三原色(RGB)
2.通過修改像素中最低位的1bit來達到隱藏的效果
3.工具: stegsolve、 zsteg、 wbstego4、 python腳本

zsteg工具

detect stegano-hidden data in PNG & BMР
Installation
root@kali:/# gem install zsteg
檢測LSB隱寫
zsteg xxx.png

wbstego4工具
解密通過1sb加密的圖片

python腳本來處理
將以下腳本放在kali中運行，將目標文件放在腳本同目錄下，將腳本中的文件名修改為文件名，運行python即可

5.TweakPNG

TweakPNG是一款簡單易用的PNG圖像瀏覽工具，它允許查看和修改一些PNG圖像文件的元信息存儲。使用場景:文件頭正常卻無法打開文件，利用TweakPNG修改CRC
例:
1.當PNG文件頭正常但無法打開文件，可能是CRC校驗出錯，可以嘗試通過TweakPNG打開PNG，會彈出校驗錯誤的提示，這里顯示CRC是fe1a5ab6，正確的是b0a7a9f1。打開winhex搜索fe1a5ab6將其改為b0a7a9f1。

1. 文件頭正常卻無法打開文件，利用TweakPNG 修改CRC....
2. 有時CRC沒有錯誤，但是圖片的高度或者寬度發生了錯誤，需要通過CRC計算出正確的高度或者寬度。可以用下面的py腳本，需要改文件位置和TweakPNG得到的CRC實際值，用計算出高度，利用01Editor修改寬高

6. Bftools

bftools用於解密圖片信息。
使用場景:在windows的cmd下，對加密過的圖片文件進行解密格式:
Bftools .exe decode braincopter要解密的圖片名稱-output輸出文件名
Bftools.exe run.上一步輸出的文件

7.SilentEye

silenteye是一款可以將 文字或者文件隱藏到圖片的解密工具。
使用場景: windows' 下打開silentEye工具，對加密的圖片進行解密
例:
1.使用silentEye程序打開目標圖片，點擊image一>decode，點擊decode，可以查看隱藏文件，點擊保存即可

2.如果需要密碼，勾選encrypteddata，輸入密碼和確認密碼，點擊decode再解密

8.JPG圖像加密

1)Stegdetect工具探測加密方式

Stegdetect.程序主要用於分析PEG文件。因此用stegdetect 可以檢測到通過Steg、JPHide. OutGuess、 Invisible Secrets、F5、appendX和Camouflage等這些隱寫工具隱藏的信息。
stegdetect xxx.jpg
stegdetect -s 敏感度xx.jpgexi

2)Jphide

Jphide是基於最低有效位LSB的JPEG格式圖像隱寫算法.例:
Stegdetect提示jphide加密時，可以用Jphs.工具進行解密，打開jphswin.exe， 使用open jpeg打開圖片，點擊seek，輸入密碼和確認密碼，在彈出文件框中選擇要保存的解密文件位置即可，結果保存成txt文件。

3.Outguess

outguess 一般用於解密文件信息。
使用場景:Stegdetect識別出來或者題目提示是outguess加密的圖片該工具需編譯使用: ./configure && make && make install
格式: outguess -r 要解密的文件名輸出結果文件名

4.F5

F5一般用於解密文件信息。
使用場景: Stegdetect識 別出來是F5加密的圖片或題目提示是F5加密的圖片
進入F5-steganography_F5目錄，將圖片文件拷貝至該目錄下，從CMD進入該目錄

格式: Java Exrtact 要解密的文件名 -p 密碼

9.二維碼處理

1.使用二維碼掃描工具CQR.exe打開圖片， 找到內容字段

2.如果二維碼某個定位角被覆蓋了，該工具有時候也可以自動識別，如果識別失敗，需要使用PS或畫圖工具將另外幾個角的定位符移動到相應的位置，補全二維碼 。

3.如果某個二維碼的定位點中間是白色，可能被反色了，使用畫圖工具把顏色反色回來再掃描即可。

壓縮文件處理、分析

1.偽加密

如果壓縮文件是加密的，或文件頭正常但解壓縮錯誤，首先嘗試文件是否為偽加密。zip文件是否加密是通過標識符來顯示的，在每個文件的文件目錄字段有一位專門標識了文件是否加密，將其設置為00表示該文件未加密，如果成功解壓則表示文件為偽加密，如果解壓出錯說明文件為真加密。
使用場景:偽加密文件
操作方法:使用winhex打開壓縮文件， 找到文件頭第九第十個字符，將其修改為0000。
1.使用winhex打開文件搜索16進制504B0102，可以看到每個加密文件的文件頭字段。

2.從50開始計算，第九第十個字符為加密字段，將其設置為0000即可變成無加密狀態。

3.RAR文件由於有頭部校驗，使用偽加密時打開文件會出現報錯，使用winhex修改標志位后如報錯消失且正常解壓縮，說明是偽加密。使用winhex打開RAR文件，找到第24個字節，該字節尾數為4表示加密，0表示無加密，將尾數改為0即可破解偽加密。

2.暴力破解

通常我們可以使用ARCHPR.exe工具來破解zip文件
使用場景: windows下加密過的zip文件
1、攻擊類型選擇暴力破解，在范圍位置根據提示選擇暴力破解范圍選項設置暴力破解包含的類型、開始於和結束於選項具體范圍，如果沒有定義則全范圍暴力破解。點擊打開選擇要破解的文件，點擊開始進行破解。建議使用1~9位的數字密碼，以及系統自帶的英文字典作為密碼字典。

2、攻擊類型選擇掩碼可以進行復雜的暴力破解，比如知道密碼前3位是abc，后3位為數字，則在攻擊類型選擇掩碼，在掩碼處輸入acb???，暴力范圍選項選擇所有數字，打開要破解的點擊，點擊破解。此時???的部分會被我們選擇的暴力破解范圍中的字符代替。

3.明文攻擊

明文攻擊指知道加密的ZIP中部分文件的明文內容，利用這些內容推測出密鑰並解密ZIP文件的攻擊方法，相比於暴力破解，這種方法在破解密碼較為復雜的壓縮包時效率更高。
使用場景:已知加密的zip部分文件明文內容
例:假設一個加密的壓縮包中有兩個文件readme.txt和flag.txt，其中flag txt的內容是我們希望知道的內容，而我們擁有readme.txt的明文文件，使用上述兩個文件即可進行明文攻擊。
操作:
1、將readme.txt的明文文件進行壓縮，變成readme1.zip。
2、打開archpr， 攻擊類型選擇明文，明文文件路徑選擇readme1.zip ( 即將明文文件不加密壓縮后的文件)，加密的文件
選擇要破解的文件，點擊開始，破解成功后會獲得密碼。

有時不一定能破解出文件口令，但是能夠找到加密密鑰等信息，可以直接將文件解密，點擊確定保存解密后的文件即可。

使用該方法需要注意兩個關鍵點:
1、有一個明文文件，壓縮后CRC值與加密壓縮包中的文件一致。
2、明文文件的壓縮算法需要與加密壓縮文件的壓縮算法一致。

RAR文件格式
有時候給出的RAR文件的頭部各個字塊會故意給錯導致無法識別。

流量取證技術

流量包文件分析

CTF比賽中，流量包的取證分析是另一項重要的考察方向。
通常比賽中會提供一個包含流量數據的PCAP文件，有時候也會需要選手們先進行修復或重構傳輸文件后，再進行分析。
總體把握
·協議分級
·端點統計
過濾篩選
·過濾語法
·Host,Protocol,contains,特征值
發現異常
·特殊字符串
·協議某字段
·flag位於服務器中
數據提取
·字符串取
·文件提取
總的來說比賽中的流量分析可以概括為以下三個方向:
·流量包修復
·協議分析
·數據提取

WireShark工具的基本使用

wireshark的過濾器和過濾規則能夠幫助我們迅速定位到要分析的報文。

常用的過濾命令:

1.過濾IP，如源IP或者目標x.x.x.x

ip.src eq x.x.x.x or ip.dst eq x.x.x.x 或者ip.addr eq x.x.x.x

2.過濾端口

tcp.port eq 80 or udp.port eq 80
tcp. dstport == 80 只顯tcp協議的目標端口為80
tcp. srcport == 80 只顯tcp協議的源端口為80
tcp.port >= 1 and tcp.port <= 80

3.過濾協議

tcp/udp/ arp/ icmp/http/ ftp/dns/ip

4.過濾MAC

eth.dst == A0:00:00:04:C5:84過濾目標mac

5.包長度過濾

udp. length = == 26這個長度是指udp本身固定長度8加上udp下面那塊數據包之和。
tcp.len>= 7指的是ip數據包(tcp下面那塊數據)，不包括tcp本身
ip.len == 94 除了以太網頭固定長度14，其它都算是ip.len，即從ip本身到最后
frame.len == 119整個數據包長度，從eth開始到最后

6.http模式過濾

http.request.method == "GET"
http.request.method == "POST"
http.request.uri == "/img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1."
http.request.method == "GET" && http contains "User-Agent:"
http contains "flag"
http contains "key"
tcp contains "flag"

WireShark 協議分析

了解數據包傳輸的內容

根據數據包特征進行篩選
比如查看數據包的時候，有的數據包有某種特征，比如有http(80)。就可以篩選出這種特征出來。
右鍵→作為過濾器應用→選中

WireShark流匯聚

在關注的ttp數據包或tcp數據包中選擇流匯聚，可以將HTTP流或TCP流匯 聚或還原成數據，在彈出的框中可以看到數據內容。

常見的HTTP流關鍵內容:
1、HTML中直接包含重要信息。
2、上傳或下載文件內容，通常包含文件名、hash值等關鍵信息，常用POST請求上傳。
3、一句話木馬，POST請求，內容包含eval，內容使用base64加密

WireShark數據提取

1.使用wireshark可以自動提取通過htp傳輸的文件內容。

2. wireshark可以手動提取文件內容。
   點擊想要的數據包，如下圖選定media type的位置
   右鍵→導出分組字節流或者點擊菜單欄文件→導出分組字節流，快捷方式Ctrl+H在彈出的框中將文件保存成二二進制文件。

無線流量包跑密碼

無線wif流量包

aircrack-ng工具進行wifi密碼破解

1.用aircrack-ng檢查cap包:aircrack-ng xxx.cap

2.用aircrack-ng跑字典進行握手包破解: aircrack-ng xx.cap -w pass.txt

USB流量包文件分析

USB流量

USB，流量也是流量分析題的考查點，一 般考察的流量涉及鍵盤擊鍵，鼠標移動與點擊，存儲設備的明文傳輸通信，USB無線網卡網絡傳輸內容等。
USB協議的數據部分在Leftover Capture Data域之中。
右鍵leftover capture data->應用為列。

USB鼠標流量抓取分析

鼠標流量與鍵盤流量不同，鼠標移動時表現為連續性，與鍵盤的離散性不一樣。但是實際鼠標產生的數據是離散的。所以同樣可以把數據抓取出來，構成二維坐標畫出軌跡。

鼠標數據包的數據長度為4個字節，第一個字節代表按鍵， 當取oxoo時，代表沒有按鍵;為ox01時，代表按左鍵，為0x02時， 代表當前按鍵為右鍵。

第二個字節代表左右偏移;
當值為正時，代表右移多少像素。當值為負時，代表左移多少像素。同理，第三個字節代表上下偏移 。

USB鼠標流量抓取分析
鼠標流量與鍵盤流量不同，鼠標移動時表現為連續性，與鍵盤的離散性不一樣。但是實際鼠標產生的數據是離散的。所以同樣可以把數據抓取出來，構成二維坐標畫出軌跡。

HTTPS流量包文件分析