ZIP:
隐写篇

通过进制转换隐藏信息
在图片中隐藏压缩包（图种）
加密篇
伪加密
爆破/字典/掩码攻击
明文攻击
CRC32碰撞
格式篇
7.修改格式

总结

1.看到PK则暗示这是一个zip包，PK是zip格式发明者Phil Katz的名称缩写，zip的前两个字母就用了PK。

2.在一张图片中隐藏一个压缩包。原理：以jpg格式的图片为例，一个完整的 JPG 文件由 FF D8 开头，FF D9结尾，图片浏览器会忽略 FF D9 以后的内容，因此可以在 JPG 文件中加入其他文件。若只隐写了一个文件，则可直接改后缀再解压。

3.一个 ZIP 文件由三个部分组成：压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志

4.(猜想)全局方式位标记只要末位是奇数，就代表加密，反之，末位是偶数代表未加密

https://www.bugku.com/forum.php?mod=viewthread&tid=115&extra=page%3D1 https://blog.csdn.net/ETF6996/article/details/51946250

BugkuCTF（部分题）
这是一张单纯的图片：
HTML实体编码

image.png

从winhex中打开图片，在底部发现一串HTML实体编码，解码得到flag。

image.png

隐写：

image.png

高度与宽度不一样，更改为F4

image.png

小总结：

image.png

png格式，高度与宽度一样，在工具中找到IHDR（头文件），在这之后的八个bit就是宽高的值。
缩略图不一样，则可能为Exif中的缩略图被修改，若为png，则可先用UE或hexwin打开查看下头文件判断是否为png。因为一般png里不会嵌入Exif信息的。
JPEG (jpg)，文件头：FFD8FF
PNG (png)，文件头：89504E47
GIF (gif)，文件头：47494638

telnet：
解压文件夹中有个pcap的文件，用wireshark打开，右键点击任一个消息追踪流，追踪TCP流，就可以看到flag。

image.png

然后一个个找就发现flag了

image.png

眼见非实：

image.png

文件名即提醒改后缀为zip，改完后，用WinHex查看发现头文件标识符仍为zip，因此继续改后缀，然后查看每个文件，搜索flag，直至得到flag
小总结：
IP Archive (zip)，文件头：504B0304
WinHex可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。总体来说是一款非常不错的 16 进制编辑器。

啊哒：
解开压缩包是一张图片，用hexwin打开发现没什么可用，搜索字符串flag，得到下图，可看到flag.txt可得还有内容。同时在过程中还看到一串十六进制数字。

image.png

16进制转换成字符串网站：http://www.bejson.com/convert/ox2str/
可得sdnisc_2018，应该有用。

image.png

小总结：
分离文件
（1）使用dd命令分离(linux/unix下)
我们可以使用dd命令分离出隐藏文件：

dd if=carter.jpg of=carter-1.jpg skip=140147 bs=1

if是指定输入文件，of是指定输出文件，skip是指定从输入文件开头跳过140147个块后再开始复制，bs设置每次读写块的大小为1字节。
dd命令：http://www.cnblogs.com/qq78292959/archive/2012/02/23/2364760.html

（2）使用foremost工具分离
foremost：基于文件文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具，直接将文件拆解。

这有是一张单纯的图片：

用hexwin打开得不到什么东西，后用binwalk打开

image.png

发现里面包含两个图片，一个jpg格式，一个tiff格式

用foremost分离

image.png

宽带信息泄露：
bin一般指二进制文件，这个后缀比较通用无法确定它具体是什么工具创建的。
放入RoutePassView查看，题目提示flag为宽带用户名，则在里面查找user，找到username。

image.png

小总结：

image.png

隐写2：
hexwin打开发现图片中有一个压缩包

image.png

我想打开flag.rar打不开，大概就是要密码了，只有三个数字，可以直接爆破，我用Fcrackzip爆破，有问题，（貌似是格式不正确）

image.png

用file命令一检查，发现是zip压缩文件。

image.png

解压时输入密码871，可得图片

image.png

放进hexwin中

image.png

base64解码可得flag

image.png

小总结：
Fcrackzip：
· -b 表示使用暴利破解的方式
· -c 'aA1' 表示使用大小写字母和数字混合破解的方式
· -l 1-10 表示需要破解的密码长度为1到10位
· -u 表示只显示破解出来的密码，其他错误的密码不显示出

多种方法解决：
解压后是一个打不开的exe，直接用hexwin打开，可看见是base64，运用解码工具

image.png

扫码得到flag

linux：
发现是个二进制文件，在Linux里用strings flag，可得flag

image.png

MISC

dd if=carter.jpg of=carter-1.jpg skip=140147 bs=1

你可能感兴趣的:(MISC)