CTF-雜項結(jié)題指南

CTF-雜項結(jié)題指南文件操作與隱寫1.File命令當(dāng)文件沒有后綴名或者有后綴名而無法正常打開時，根據(jù)識別出的文件類型來修改后綴名即可正常打開文件使用場景：不知道后綴名，無法打開文件root@kali:~#filectfctf:PNGimagedata,731x672 //png文件2.winhex通過winhex程序中可以查看文件頭類型，根據(jù)文件頭類型判斷出文件類型使用場景：windows下通過文件頭信息判斷文件類型

3.文件頭缺失/錯誤通常文件無法正常打開有兩種情況，一種是文件頭缺失，一種是文件頭錯誤?？梢允褂脀inhex打開文件，然后修改正確。當(dāng)file一個文件的時候顯示data就是該文件頭缺失或錯誤。

4.Binwalk文件分離工具Binwalk是Linux下用來分析和分離文件的工具，可以快速分辨文件是否由多個文件合并而成，并將文件進行分離。如果分離成功會在目標(biāo)文件的目錄。有壓縮包自動解壓同目錄下生成一個形如_文件_extracted的文件目錄，目錄中有分離后的文件。用法：分析文件：binwalkfilename分離文件：binwalk-efilename從0x0到0x2028(十六進制數(shù))是一個JPG圖片，從0x2028到0x4C9A是一個TIF文件。

5.foremost文件分離如果binwalk無法正確分離文件，可以使用foremost，將目標(biāo)文件復(fù)制到kali中，成功執(zhí)行后，會在目標(biāo)文件的文件目錄下生成我們設(shè)置的目錄，目錄中會按文件類型分離出文件。有壓縮包不會自動解壓用法：foremost文件名-o輸出目錄名

6.dd文件分離當(dāng)文件自動分離出錯或者因為其他原因無法自動分離時，可以使用dd實現(xiàn)文件手動分析。使用情況：題目將jpg文件和zip文件分成兩部分打亂排序。這時候使用binwalk和foremost是分離不出來的。格式：ddif=源文件of=目標(biāo)文件名bs=1skip=開始分離的字節(jié)參數(shù)說明：if=file#輸入文件名，缺省為標(biāo)準(zhǔn)輸入。of=file#輸出文件名，缺省為標(biāo)準(zhǔn)輸出。bs=bytes#同時設(shè)置讀寫塊的大小為bytes，可代替ibs和obs。skip=blocks#從輸入文件開頭跳過blocks個塊后再開始復(fù)制。

命令一：

結(jié)果一：

命令二：

結(jié)果二：

命令三：

結(jié)果三：

一張sim.jpg已經(jīng)通過binwalk分析出0-22895是jpg，22895-23046是zip使用dd將其分離

ddif=sim.jpgof=111111.zipbs=1count=23046skip=22895

7.文件合并（1）Linux下的文件合并使用場景：出題人把一張圖片分開好幾個碎片給你。或?qū)ξ募嗨频奈募M行批量合并。格式：cat合并的文件>輸出的文件完整性檢測：Linux下計算文件md5（文件的md5題目會告訴你的）：md5sum文件名

（2）Windows下的文件合并使用場景：出題人把一張圖片分開好幾個碎片給你?；?qū)ξ募嗨频奈募M行批量合并。格式：copy/B合并的文件名輸出的文件名完整性檢測：Windows下計算文件md5（文件的md5題目會告訴你的）：certutil-hashfile文件名md5

圖片隱寫1.Firework用十六進制編輯器打開文件時會看到文件頭部中包含firework的標(biāo)識，通過firework可以找到隱藏圖片。firework可以用來查看gif動圖的每一幀圖片，或者一張圖的每一個圖層。例如flag，密碼等等。

使用場景：查看隱寫的圖片文件

2.ExifExif按照JPEG的規(guī)格在JPEG中插入一些圖像/數(shù)字相機的信息數(shù)據(jù)以及縮略圖像.可以通過與JPEG兼容的互聯(lián)網(wǎng)瀏覽器/圖片瀏覽器/圖像處理等一些軟件來查看Exif格式的圖像文件.就跟瀏覽器通常的JPEG圖像文件一樣.圖片右鍵屬性，查看Exif或者查看詳細信息，在相關(guān)選項卡中查找flag信息。

3.Stegsolve當(dāng)兩張jpg圖片外觀、大小、像素都基本相同時，可以考慮進行結(jié)合分析，即將兩個文件的像素RGB值進行XOR、ADD、SUB等操作，看能否得到有用的信息，StegSolve可以方便的進行這些操作。使用場景：題目給出兩張基本一樣的圖片1.打開一張圖片，點擊analyse–>Imagecombiner2.在彈出的窗口中點擊左右按鈕選擇處理方式，點擊save保存有價值的結(jié)果。3.給出兩張一樣的圖片的時候可以考慮使用StegSolve來將兩張圖片進行一個相加相減異或的操作。例題：題目給出一張圖片

使用十六進制打開這張圖片，發(fā)現(xiàn)一個下載鏈接下載得到一張一模一樣的圖片使用StegSolve左上角open打開下載出來的圖（打開圖片的順序會影響結(jié)果，即1-2與2-1的區(qū)別）點擊Analyse–>ImageCombiner打開另一張圖操作<>小箭頭對兩張圖片進行異或加減各種操作得到一張二維碼最后對二維碼進行一個取反的操作，即將黑白兩色取反，最后得到一個flag。

4.LSB（最低有效位）LSB替換隱寫基本思想是用嵌入的秘密信息取代載體圖像的最低比特位，原來的7個高位平面與替代秘密信息的最低位平面組合成含隱藏信息的新圖形。1.像素三原色（RGB）2.通過修改像素中最低位的1bit來打到隱藏的效果3.工具：StegSolve、zsteg、wbstego4、python腳本

StegSolveAnalyse–>DataExtract打開之后選擇RGB最低有效位在右邊BitPlaneOrder選項欄中選擇三基色的順序，然后點擊Preview得到flag

zsteg這個工具是在linux命令行上使用的安裝命令：geminstallzsteg檢測LSB隱寫zstegxxx.png

5.TweakPNGTweakPNG是一款簡單易用的PNG圖像檢查工具，它允許查看和修改一些PNG圖像文件的元信息存儲。CRC值是根據(jù)文件頭，圖片長寬等數(shù)據(jù)來計算出來的一個檢驗值。使用場景：文件頭正常卻無法打開文件，利用TweakPNG查看CRC值有沒有錯打開TweakPNGFile–>open打開你要檢查的圖片如果錯誤則會彈窗知道CRC錯誤了之后用十六進制編譯器打開這張圖片，Ctrl+f找到提示的錯誤CRC然后把錯誤的值改好就可以打開圖片了。第二種情況就是CRC值沒有出現(xiàn)錯誤，但是圖片的高度或者寬度發(fā)生了錯誤，也會打不開圖片，或者圖片顯示不完全，這是就需要通過CRC計算出正確的高度或者寬度。例：BUGKU里的一道題目，首先下載到一張圖片用TweakPNG檢查發(fā)現(xiàn)這張圖片的CRC值錯誤了

通過notepad++把CRC值改正之后再打開發(fā)現(xiàn)并沒有得到Flag，說明了是這張圖片的寬高設(shè)置有問題。用python腳本通過CRC值計算出正確的寬高。再打開圖片對比查看發(fā)現(xiàn)高的那段有錯誤000001A4—>000001f4修改正確之后保存文件，打開圖片發(fā)現(xiàn)底部有flag

6.BftoolsBftools用于解密圖片信息。使用場景：在windows的cmd下，對加密過的圖片文件進行解密格式：Bftools.exedecodebraincopter要解密的圖片名稱-o輸出文件名Bftools.exerun上一步寫的輸出的文件名

7.SilentEyeSilentEye是一款可以將文字或者文件隱藏到圖片的解密工具。使用場景：windows下打開SilentEye工具，對加密的圖片進行解密例：打開SilentEye—>open打開你想解密的圖片打開圖片之后選擇左下角decode解密點擊Decode把生成的flag.txt文件保存在你想保存的地方打開flag.txt得到解密后的flag值如果解密的時候需要密碼，勾選encrypteddata，輸入密碼和確認密碼，再點擊decode解密

8.StegdetectStegdetect程序?qū)ｉT用于分析JPEG文件，如果確定了這個文件肯定使用了jpg的加密方式就可以用Stegdetect。因此用Stegdetect可以檢測到通過JSteg、JPHide、OutGuess、InvisibleSecrets、F5、appendX和Camouflage等這些隱寫工具隱藏的信息。格式：stegdetectxxx.jpgstegdetect-s敏感度xxx.jpgexi

壓縮文件處理1.偽加密如果壓縮文件是加密的，或文件頭正常但解壓錯誤，首先嘗試文件是否偽加密。zip文件是否加密是通過標(biāo)識符來顯示的，在每個文件的文件目錄字段有一位專門標(biāo)識了文件是否加密，將其設(shè)置成00表示該文件未加密，如果成功解壓則表示文件為偽加密，如果解壓出錯說明文件為真加密。使用場景：偽加密文件操作方法：使用十六進制編譯器打開壓縮文件，找到從文件頭開始數(shù)的第九第十個字符，將其修改為0000.（1）Zip1.十六進制編譯器打開文件Ctrl+f搜索16進制的504B0102，可以看到每個加密文件的文件頭字段。第九第十位為0000的話是無加密，如果是0001或者0100的話是偽加密，將0001改成0000后解除偽加密狀態(tài)。（2）RARRAR文件由于有頭部檢驗，使用偽加密時打開文件會出現(xiàn)報錯，使用十六進制編譯器修改標(biāo)志位后如報錯消失且正常解壓縮，說明是偽加密。使用十六進制編譯器打開RAR文件，找到第24個字節(jié)，該字節(jié)位數(shù)為4表示加密，0表示無加密，將尾數(shù)改為0即可破解偽加密。

2.暴力破解通常我們可以使用ARCHRP.exe工具來破解zip文件windows下加密過的zip文件1.攻擊類型選擇暴力破解，在范圍位置根據(jù)提示選擇暴力破解范圍選項設(shè)置暴力破解包含的類型、開始于和結(jié)束于選項具體范圍，如果沒有定義則全范圍暴力破解。點擊打開選擇要破解的文件，點擊開始進行破解。建議使用1~9位的數(shù)字密碼，以及系統(tǒng)自帶的英文字典作為密碼字典。2.攻擊類型選擇掩碼可以進行復(fù)雜的暴力破解，比如知道密碼前3位是abc，后三位是數(shù)字，則在攻擊類型選擇掩碼，在掩碼出輸入abc???，暴力范圍選擇所有數(shù)字，打開要破解的文件，點擊破解。此時？？？的部分會被我們選擇的暴力破解范圍中的字符代替。破解成功后會提示（口令就是密碼）

3.明文攻擊明文攻擊指的是，加密的ZIP文件中你已經(jīng)知道了這個ZIP加密文件中的其中一個或多個文件，李永忠和諧內(nèi)容推測出密鑰并解密ZIP文件的攻擊方法，相比于暴力破解，這種方法在破解密碼較為復(fù)雜的壓縮包時效率更高。例如：假設(shè)一個加密的壓縮包中有兩個文件readme.txt和flag.txt，其中flag.txt的內(nèi)容是我們希望知道的內(nèi)容，而我們擁有readme.txt這個明文文件，這時候就可以使用明文攻擊了。操作:1、將readme.txt的明文文件進行壓縮，變成readme1.zip[#明文文件的壓縮算法一定要和加密的壓縮文件的算法一樣！！不然會出錯！2、打開ARCHPR，攻擊類型選擇明文，明文文件路徑選擇readme1.zip即將明文文件不加密壓縮后的文件）3、選擇要破解的文件，點擊開始，破解成功后會獲得密碼。圖一圖二有時候不一定能破解出文件口令，但是能夠找到加密密鑰等信息，可以直接將文件解密，點擊確定保存解密后的文件即可。還有一種情況就是加密的文件無論如何都是解密不了的，通過破解軟件可以得到它的加密密鑰，F(xiàn)lag就在加密密鑰上

流量取證技術(shù)流量取證題目通常都是給出一個pcac文件，需要用wireshark對這個pcac文件進行一個流量檢測。過濾ip地址如源IP或者目標(biāo)X.X.X.Xip.srceqx.x.x.xorip.dsteqx.x.x.x或者ip.addreqx.x.x.x過濾端口tcp.porteq80orudp.porteq80tcp.dstport==80

只顯示tcp協(xié)議的目標(biāo)端口為80tcp.srcport==80

只顯示tcp協(xié)議的源端口為80tcp.port>=1andtcp.port<=80過濾協(xié)議直接tcp/udp/arp/icmp/http/ftp/dns/ip…過濾MACeth.dst==A0:00:00:04:C5:84包長度過濾udp.length==26

#這個長度是指udp本身固定長度8加上udp下面那塊數(shù)據(jù)包之和tcp.len>=7

#指的是ip數(shù)據(jù)包（tcp下面那塊數(shù)據(jù)），不包括tcp本身ip.len==94

#除了以太網(wǎng)頭固定長度14，其他都算是ip.len，即從ip本身到最后frame.len==119

#整個數(shù)據(jù)包長度，從eth開始到最后http模式過濾http.request.method==“GET”

#篩選http協(xié)議里面的GET請求方法http.request.method==“POST”

#篩選http協(xié)議里面的POST請求方法http.request.uri==“/img.logo-edu.gif”

#httpcontains“GET”

#篩選http協(xié)議里面包含GET字段的包httpcontains“HTTP/1.”

#篩選http協(xié)議里面包含HTTP/1字段的包http.request.method==“GET”&&