CTF杂项题做题思路

一、文件隐写

1、 file命令
当文件没有后缀或者有后缀无法正常打开,根据识别出的文件类型,来修改后缀即可
格式:file myheat
2、 winhex
3、 文件头缺失
一种是文件头残缺,另一种是文件头部字段错误。文件头部残缺可使用winhex添加相应文件头,针对头部字段错误,可找一个相同类型的文件进行替换。
文件分离操作:
1、 binwalk工具(遇到压缩包会自动解压)
DECIMAL:十进制 HEXADECIMAL:十六进制
分析文件:binwalk 文件名
分离文件:binwalk -e 文件名
2、 foremost 工具
foremost 文件名 -o 输出目录
3、 dd
文件无法自动分离时,可使用dd实现文件手动分离。
格式:
Dd if = 源文件 of=目标文件名 bs=1 skip=开始分离的字节数
参数说明:
If = file #输入文件名,缺省为标准输入
Of=file #输出文件名,缺省为标准输出
Bs=bytes #同时设置读写块的大小为bytes,可代替为ibs和obs
Skip=blocks #从输入文件开头跳过blocks个块后再开始复制
例:dd if =1.txt of 2.txt bs=5 count=1
可先使用binwalk分析文件
4、 Winhex
右键保存为需要的文件
5、010 editor
文件合并:
1、 Linux下的文件合并
Linux下对文件名相似的文件进行批量合并
格式:cat 合并文件>输出的文件
加验MD5值:md5sum 文件名

二、图片隐写:

目录:
1、 细微颜色差别
2、 GIF图多帧隐藏
颜色通道隐藏
不同帧图信息隐藏
不同帧对你隐写
3、 exif信息隐藏
4、 图片修复
图片头尾修复
CRC校验修复
长宽高修复
5、 最低有效位LSB隐写
6、 图片加密
Stegdetect
Outguess
Jphide
F5

1、 firework
2、 exif
3、 stegsolve
两张jpg图片外观、大小、像素基本相同,可考虑结合分析,即将两个文件像素RGB值进行XOR、ADD、SUB等操作。
打开第一张图片,依次点击analyse image combiner
两张图片打开的先后顺序不一样,结果也会不一样
4、 最低有效位LSB隐写
打开文件依次点击 analyse data extract
勾选R G B 的0值,点击Preview
Webstego4工具(针对.bmp格式的图片)
5、 CQR
取反色,自动补全二维码

三、压缩文件

1、伪加密
文件头正常,但解压错误,使用winhex,找到文件头第九第十个字符,将其修改为0000。
搜索16进制504B0102,可找到每个加密文件的文件头字段
RAR文件由于有头部校验,使用伪加密时打开文件会出现报错,使用winhex修改标志位后如报错消失且正常解压缩,说明是伪加密。使用winhex打开RAR文件,找到第24个字节,该字节尾数为4表示加密,0表示无加密,将尾数改为0即可破解伪加密。
2、 暴力破解
使用ARCHPR
攻击类型选择掩码可以进行复杂的暴力破解,比如知道密码前3位是abc,后3位为数字,则在攻击类型选择掩码,在掩码处输入acb???,暴力范围选项选择所有数字,打开要破解的点击,点击破解。此时? ? ?的部分会被我们选择的暴力破解范围中的字符代替。
CTF杂项题做题思路_第1张图片
有时给出的RAR文件头部各个字块会故意给错导致无法识别。
四、流量取证
1、
http contains “FLAG”
http contains “key”
2、wireshark协议分析
先点再点协议分级
查看数据包的时候,有的数据包有某种特征,就可以筛选出来这种特征:
右键,作为过滤器应用,选中
3、 wireshark流汇聚
在关注HTTP数据包或者TCP数据包中选择流汇聚,可将HTTP流或TCP流汇聚或还原成数据,在弹出框内可以看到数据内容
常见的HTTP流关键内容:
●HTML中直接包含重要信息。
●上传或下载文件内容,通常包含文件名、hash值等关键信息,常用POST请求上传。
●一句话木马,POST请求,内容包含eval, 内容使用base64加密

你可能感兴趣的:(web安全入门笔记)