ctf基本操作
需要下载镜像去 i tell you下载ISO源文件
文件操作与隐写
文件类型识别
kali里的File命令 file + 文件名,确定文件类型
winhex查看文件头类型,根据头文件类型判断
文件类型对应不同的文件头
notepad++在插件找到16进制内容查看,寻找对应的内容(经常性的可以查看16进制,然后转换)
文件头残缺/错误
先用file查看猜测大概的类型,无显示为data,考虑进行填补
缺失进行补头
binwalk工具
用法:
分析文件:binwalk filename
分离文件: binwalk -e filename
foremost
foremost 文件名 -o 输出目录名(后面的-o其实可以不用)
dd
手动进行分离
dd if=源文件 of=目标文件名 bs=1 skip=开始分离的字节数
skip开始分离,就是跳过前面的内容,选取后面的部分
bs读取的大小,5代表取读5位,count为这样的bs的数目,如果加入skip,就是对应跳过bs----bs为5位
decimal:十进制,hexadecimal:十六进制
可以找到对应的在winhex之类里面的位置进行验证
取值zip,是从22895-23046,选择前面数一共23046位,skip跳过前面22895位,直接得到zip文件
010Editor
在binwalk后知道对应的zip为后面的多少位,找到16进制中对应的位置,在这里直接右键,进行选择,保存选择,保存为zip,直接出结果
发现一些题型,打开为一串16进制,打开010editor选择进行导入,再输出为对应的文件类型
文件合并操作
cat gif01 gif02 >1.gif
生成新的gif,结合完成,可能还要添加头文件
文件内容隐写
直接搜索查找目标如:key、flag
可以在左下角find Hex Bytes 那里寻找字符串
图片隐写
1.Firework(某绘图工具)
查看隐写的图片文件,通过firework可以找到隐藏图片(找图和层)
2.Exif
Google地球,查看gps位置
Linux操作:exiftool 1.jpg
3.StegSlove
analyse最后的是不同的图片进行对比(异或、添加),多在两张大概相同的图片进行对比
在这里面的减操作,是不同的,互相的减不同
4.LSB
zsteg工具
显示所有可能的文本信息,防止过多的排序
wbstego4:解密通过lsb加密的图片
用画图进行图片格式转换
python脚本自己来写
5.TweakPNG
使用场景:文件头正常却无法打开文件,利用TweakPNG修改CRC
python脚本修改
6.Bftools
在windoes的cmd下,对加密过的图片文件进行解密
7.SilentEye
8.jpg图像加密
9.二维码处理
CQR.exe
取反,进行反色操作
一个蛮厉害的工具,要去找找
压缩文件处理
1.伪加密
360解压,直接进行解压,先找到504B0101,再往后数到第九第十个字符(两位数字一字符)50也算入
注意位数
RAR文件
明文攻击,后面未知的位数添加为???
加密密钥也可能为flag
压缩软件,可以选择不同的压缩算法
改为0x74,添加头文件解压出来,数三位,先找到前面的结尾。最后再这里修改正确的头文件
流量取证(磁盘、内存取证)
流量包文件分析
找http(协议分级)
wireshark工具的使用
12道大概的题
截握手包,破取WiFi密码
wireshark过滤器
源、目的地
1.过滤IP,如源ip或者mubiaox.x.x.x.
协议和对应的端口
看http,再搜索关键词
contains选择是否包含这个字段
协议分析
统计-协议分级
去找流量包的大概分区
流汇聚
追踪流,进行搜索flag
一句话木马,进行POST请求,直接连接后门
命令行的操作方式shell
搜索样例,一般是先http,然后再tcp
技巧:直接调取contains函数去搜索flag
wireshark数据提权
寻找导出对象,导出后看十六进制的头文件猜测大概的属性,导出到文件夹,改名,导出
找大小,偏大的导出
无线WiFi流量包
1.用aircrack-ng检查cap包 :aircrack-ng xxx.cap
handshake 握手包
bssid :WiFi地址
essid: WiFi名字
跑字典破解WiFi密码
aircrack-ng xxx.cap -w +字典
USB流量
USB流量包文件分析(一定要先应用为列)
可以获取鼠标的流量曲线
查看第三个字节对应的值,去官方手册查看对应的情况和数据
图片上面左边为官方文件,右边为自己写的脚本
USB键盘流量抓取分析
使用wireshark提供的命令行工具tshark
分析 > 导出
对应脚本
HTTPS流量包文件分析
