CTF-MISC杂项题1

由于内容过多，分两篇展示

杂项题基本解题攻略：

内容：
1.文件操作与隐写
2.图片隐写术
3.压缩文件处理
4.流量取证技术

文件操作与隐写
file命令可识别文件类型
file filejpg
file filegpng
file filegzip
文件类型识别

在Window，文件内容为十六进制类型的，可以winhex判断

若不知道文件为什么类型，以010editor或者notepadqq编辑器打开，开头几个十六进制与相应的文件类型匹配即为相应的文件类型。

这张图片在010editor编辑器打开的

左边为十六进制看不懂，右边为ASCII码，看得懂的为可打印的，.为不可打印的
若将一个.txt文件在010editor编辑器里打开，打开后，点击上方的hex键，可以看到左边为十六进制，右边为ASCII码。

3.文件头残缺/错误
通常文件无法正常打开有两类情况：一为文件头部残缺，另一类为文件头部字段错误。针对文件头部残缺的情况，利用winhex程序添加相应的文件头，针对头部字段错误，可以找一个相同类型的文件进行替换。

文件分离操作

可能一张图片由多个图片或者还有一些压缩包组合而成
binwalk -e filename分离文件到当前目录

2.foremost
若binwalk无法正确分离出文件，可以利用foremost，将目标文件复制到kali里，成功执行后，会在目标文件的文件目录下生成我们设置的目录，目录里会按文件类型分离出文件。

例如：foremost aaa.txt -o foremost_aaa

dd半自动分离，即手动分离



0～22895为jpg范围，22895_{23046为zip范围，0x596F}0x5A06为zip的十六进制地址
0x596F在0x5960h这一行的F列，开头有504B0304文件类型
23046为块数


不建议采纳Winhex,因为010editor更简单


例如左边蓝色的为zip文件，点击Save Selection，保存出zip压缩包文件。

若文件内容为十六进制(假设为rar文件)，在010editor->file->import hex导入十六进制文件，之后再导出以rar结尾的文件，即可打开文件。

文件合并操作

例如：合并多个gif文件，之后在010editor打开此文件。若010editor开头没有文件类型，自主添加(此例子为gif文件)，然后点击文件播放(轮播子gif文件)。

文件内容隐写

一般搜索输入“key”或者“flag”

图片隐写术

firework类型：1.处理firework标志的图像；2.常见图片解析：图层分解，帧分解

Exif信息：在window里查看详细信息，在linux里有exiftool工具

此软件为最常用的图像分析工具，最常用于：1通道分离，2 LSB分离，3图像对比
若在stegsolve里，以一张图片打开另一张图片找不到区别，那么调换两者打开顺序，得到类同于二维码的彩色图片即可。（需安装）

1.Stegsolve.jar工具：

注意三基色的顺序，可能需要点击多次才能找到flag(注意：flag{}里面没有空格，所以空格去掉)

2.zsteg工具：

zsteg工具自动调换三基色顺序找出flag（需安装）

3.wbstego4工具：


此软件有点问题，打开后就退不出来了(不建议安装)
点击encode/decode后，需选支持的文件类型
例如：若以此软件.jpg图片解密，先在作图软件打开.jpg，导出为.bmp格式，再在此软件处理
但以zsteg工具都不需转换格式，直接在端：zsteg __.jpg可得到flag

python脚本：

5.TweakPNG：

此软件针对PNG图像

一张图片的十六进制内容开头为文件格式，文件长度，文件宽度，文件高度，CRC校验…
根据文件的头部，长度，宽度，高度来计算CRC校验值，再将校验值保存在开头部分
若文件格式，文件长度，文件宽度，文件高度，CRC校验有一个为错误的，都不能正常打开图片。



方法一：
若高度或者宽度有问题，TweakPNG也显示CRC错误。如：


方法二：跑python脚本

在倒数第三行的CRC值填写0xcbd6df8a
运行此python脚本，会显出高度和宽度的十六进制，再到010editor里修改出错的高度或者宽度。

6.Bftools：


此软件为一款可以将文字或者文件隐藏到图片的加解密工具

8.JPG图像加密

Stegdetect可安装在linux里





输入java Extract aaa.jpg -p aaa
运行结束后我们可以直接在目录下的output.txt里看到结果

3.若某个二维码的定位点之间为白色，可能被反色了，利用做图工具把颜色反色回来在扫描即可。


点击反色后，白色变成黑色，黑色变成白色(上面的图片为彩色的，只是拿来演示的)
扫描后可能发现为一段密文，再解密即可

后续还有CTF-MISC杂项题2